2 1 
全 -世纪 高 等 院 校 计算 机 网 络 工程 专业 规划 教材 


网 络 管理 技术 教程 


陈 广 山 编著 


可 下 载 教 学 资料 


http://www.tup.tsinghua.edu.cn 


清华 大 学 出 版 社 


21 世纪 高 等 院 校 计 算 机 网 络 工程 专业 规划 教材 


网 络 管理 技术 教程 


陈 广 山 编著 


清华 大 学 出 版 社 
北京 


内 容 简 介 


本 书 首先 介绍 了 网 络 管理 的 基础 知识 ,包括 网 络 管理 的 基本 概念 要素 、 目 标 、 内 容 、 功 能 、 模 型 和 标 
准 ,管理 信息 库 , 简 单 网 络 管理 协议 ,以 及 远程 网 络 监 视 RMON; 然后 介绍 了 常用 网 络 设备 ,包括 常用 服务 
器 ,交换 机 、 路 由 器 和 电源 等 设备 的 管理 ; 接 下 来 介绍 了 IT 运 维和 安全 管理 的 相关 内 容 , 包 括 日 常 运 维 管 
理 、 信 息 安全 管理 和 网 络 管理 系统 ; 最 后 介绍 了 网 络 管理 工具 和 故障 诊断 与 维护 的 知识 。 

全 书 力求 体现 实际 、 实 用 的 原则 。 这 是 一 本 具有 可 操作 性 的 网 络 管理 教程 , 书 中 所 选 软件 ,大 多 可 从 
网 上 免费 下 载 试用 ,或 直接 在 网 上 体验 。 全 书 理论 体系 相对 完整 ,采用 了 尽 可 能 多 的 实际 操作 案例 来 解释 
和 略 述 相应 的 具体 应 用 ,每 章 配 有 习题 , 供 读者 巩固 学 到 的 知识 和 技能 。 

本 书 可 作为 本 、 专 科 “ 计 算 机 网 络 管理 "类 课程 的 教材 ,也 可 作为 相关 培训 班 的 教程 ,同时 还 可 作为 网 
络 管理 人 员 的 参考 书 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 


图 书 在 版 编目 (CIP) 数 据 


网 络 管理 技术 教程 / 陈 广 山 编 著 . 一 北京 : 清华 大 学 出 版 社 ,2011. 8 
(21 世纪 高 等 院 校 计算 机 网 络 工 程 专业 规划 教材 ) 
ISBN 978-7-302-25082-1 


I . 外 网 … 本 .@ 陈 … 轩 . 计算 机 网 络 管理 一 高 等 学 校 一 教材 N. TP393.07 
中 国 版 本 图 书馆 CIP 数据 核 字 (2011) 第 046529 号 


责任 编辑 : 梁 颖 

责任 校对 : 白 车 

出 版 发 行 : 清华 大 学 出 版 社 地 址 : 北京 清华 大 学 学 研 大 厦 A 座 
http://www. tup. com. cn 邮 编 : 100084 
社 总 机 : 010-62770175 邮 购 : 010-62786544 


投稿 与 读者 服务 : 010-62795954,jsjjc@tup. tsinghua. edu. cn 
质 量 反 馈 : 010-62772015 ,zhiliang@tup. tsinghua. edu. cn 
: 清华 大 学 印刷 厂 


当 望 


从 加 学 证 玫 直路 


: 全 国 新 华 书店 

: 185X 260 印 张 : 18.5 字 数 : 449 千 字 

: 2011 年 8 月 第 1 版 印 次 : 2011 年 8 月 第 1 次 印刷 
1~ 000 

.00 元 


闪避 二 章 腔 娘 导 


口 


a 
六 
ue 


: 035902-01 


随 着 设备 的 增多 ,网 络 规模 的 扩大 ,网 络 管理 的 负担 正在 进一步 加 重 。 而 且 , 随 着 企业 
的 业务 变 得 越 来 越 富有 挑战 性 ,作为 支撑 业务 的 网 络 管理 工作 也 变 得 越 来 越 复杂 。 如 何 优 
化 设备 和 网 络 配 置 , 使 网 络 系 统 充分 发 挥 优势 ,是 网 络 管理 员 们 正面 临 的 艰巨 任务 。 网 络 管 
理 是 业务 运营 中 的 一 个 关键 环节 ,网 络 管理 的 质量 也 会 直接 影响 网 络 的 运行 效率 和 企业 的 
效益 。 因 此 ,实现 有 效 的 网 络 管理 ,促进 网 络 安全 ,稳定 地 运行 就 显得 越 来 越 重要 ,同时 对 网 
络 管理 者 的 素质 要 求 也 越 来 越 高 。 因 此 ,编者 从 实际 应 用 的 需求 出 发 ,结合 多 年 从 事 网 络 管 
理 教学 和 工作 的 经 验 编写 了 本 书 。 

本 书 共 分 为 9 章 ,每 章 都 配 有 习题 。 在 编写 的 过 程 中 注意 到 了 作为 教材 其 理论 体系 的 
完整 性 和 实验 的 可 操作 性 ,几乎 所 有 软件 都 可 从 网 上 免费 下 载 ,或 直接 在 网 上 体验 。 

第 1 章 介 绍 网 络 管理 的 基础 知识 ,包括 网 络 管理 的 概念 、 要 素 、 目 标 内容 、 功 能 、 模 型 和 
标准 ; 第 2 章 介 绍 管理 信息 库 ; 第 3 章 介 绍 网 络 管理 协议 ,主要 介绍 SNMP 协议 的 发 展 、 功 
能 .体系 结构 ,以 及 公共 管理 信息 协议 和 基于 Web 的 管理 技术 ; 第 4 章 简单 介绍 远程 监视 
RMON 的 相关 内 容 ; 第 5 章 介 绍 服务 器 .交换 机 、 路 由 器 .电源 等 常用 网 络 设备 的 配置 与 管 
理 ; 第 6 章 介 绍 日 常 运 维 和 管理 的 内 容 和 操作 ,包括 企业 网 站 设计 与 管理 ,网 络 布线 和 数据 
库 管 理 , 软 硬件 资源 管理 ,业务 和 文档 的 管理 等 ; 第 7 章 介绍 信息 安全 管理 的 基本 知识 , 主 
要 有 环境 安全 、 数 据 存 取 管理 和 容 灾 管理 ; 第 8 章 介绍 常用 网 络 管理 工具 和 企业 级 网 络 管 
理 系 统 ; 第 9 章 介 绍 网 络 故障 诊断 与 维护 的 相关 理论 知识 .技术 .手段 .方法 和 技巧 。 

在 本 书 编写 的 过 程 中 参考 了 大 量 的 文献 ,在 此 对 相关 的 作者 表示 感谢 ; 同时 也 得 到 编 
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第 1 章 网 络 管理 基础 


计算 机 网 络 技术 已 经 历 了 将 近 50 年 迅速 发 展 的 过 程 。 今 天 ,计算 机 网 络 作为 信息 社会 
的 基础 设施 已 经 渗透 到 社会 的 各 个 方面 ,政府 部 门 、 商 业 、 军 事 、 教 育 和 科研 等 领域 都 离 不 开 
计算 机 网 络 。 社 会 对 计算 机 网 络 的 依赖 ,使 得 计算 机 网 络 本 身 运行 的 可 靠 性 越 来 越 重要 。 
目前 的 计算 机 网 络 规模 已 经 越 来 越 大 ,组 成 也 越 来 越 复 杂 , 人 工 网 络 管理 的 方式 已 经 无 能 为 
力 ,因此 对 网 络 运行 的 管理 提出 了 更 高 的 要 求 。 


1.1 网 络 管理 的 基本 概念 


1.1.1 网 络 管理 研究 概述 


实际 上 ,任何 一 个 系统 都 是 需要 管理 的 ,无 论 是 电信 网 络 , 还 是 计算 机 网 络 。 只 是 根据 
系统 的 大 小 ,复杂 性 的 高 低 , 管 理 在 系统 中 的 重要 性 有 重 有 轻 而 已 。 对 计算 机 网 络 管理 而 
言 ,可 以 说 是 伴随 着 1969 年 世界 上 第 一 个 计算 机 网 络 一 一 ARPANET 的 诞生 而 产生 的 , 当 
时 的 ARPANET 已 经 存在 一 个 网 络 管理 系统 。 虽 然 网 络 管理 技术 很 早 就 有 , 却 一 直 没 有 得 
到 应 有 的 重视 。 随 着 网 络 的 发 展 ,规模 增 大 、 复 杂 性 增加 ,以 前 的 网 络 管理 技术 已 经 不 能 适 
应 网 络 的 迅速 发 展 了 。 

20 世纪 80 年 代 初 期 ,Internet 的 出 现 和 发 展 更 使 人 们 意识 到 网 络 管理 的 重要 性 。 于 
是 ,研究 开发 人 员 迅 速 展 开 了 对 网 络 管理 的 研究 ,并 提出 了 多 种 网 络 管理 方案 ,包括 
HEMS .SGMP .CMISVCMIP 等 。 到 1987 年 底 , Internet 的 核心 管理 机 构 IAB 意识 到 需要 
在 众多 的 网 络 管理 方案 中 进行 选择 , 以便 集中 对 网 络 管理 的 研究 。IAB 要 选择 适合 于 
TCP/IP 网 络 特别 是 Internet 的 管理 方案 。 在 1988 年 3 月 的 会 议 上 ,IAB 制订 了 Internet 
管理 的 发 展 策略 , 即 采 用 SGMP 作为 短期 的 Internet 管理 解决 方案 ,并 在 适当 的 时 候 转 向 
CMIS/CMIP。 其 中 ,简单 网 关 监 视 协议 (Simple Gateway Management Protocol,SGMP) 是 
在 NYSERNET 和 SURANET 上 开发 应 用 的 网 络 管理 工具 ,而 CMIS/CMIP 是 20 世纪 80 
年 代 中 期 国际 标准 化 组 织 (ISO) 和 CCITT 联合 制订 的 网 络 管理 标准 。 同 时 ,IAB 还 分 别 成 
立 了 相应 的 工作 组 ,对 这 些 方案 进行 适当 的 修订 ,使 它们 更 适合 Internet 的 管理 。 

这 些 工作 组 随后 相应 推出 了 简单 网 络 管理 协议 (Simple Network Management 
Protocol, SNMP)(1988) 和 CMOT(CMIP/CMIS Over TCP/IP) (1989)。SNMP 一 推出 就 
得 到 了 广泛 的 应 用 和 支持 ,而 CMIS/CMIP 的 实现 却 由 于 其 复杂 性 和 实现 代价 太 高 而 遇 到 
了 困难 。 当 ISO 不 断 修改 CMIP/CMIS 使 之 趋 于 成 熟 时 ,SNMP 在 实际 应 用 环境 中 得 到 了 
检验 和 发 展 。1990 年 IETF 在 RFC1157 中 正式 公布 了 SNMP,1993 年 4 月 又 发 布 了 


T 
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SNMP v2(RFC1441)。 当 ISO 的 网 络 管理 标准 终于 趋向 成 熟 时 ,SNMP 已 经 得 到 了 数 百 家 
厂商 的 支持 ,目前 SNMP 已 成 为 网 络 管理 领域 中 事实 上 的 工业 标准 ,大 多 数 网 络 管理 系统 
和 平台 都 是 基于 SNMP 的 。 

由 于 实际 应 用 的 需要 ,IEEE 通信 学 会 下 属 的 网 络 营运 与 管理 专业 委员 会 CCNOM) ,从 
1988 年 起 每 两 年 举办 一 次 网 络 营运 与 管理 专题 讨论 会 (NOMS)。 国 际 信息 处 理 联合 会 
(IFIP) 也 从 1989 年 开始 每 两 年 举办 一 次 综合 网 络 管理 专题 讨论 会 。 还 有 一 个 OSI 网 络 管 
理论 坛 (OSI/NMFORUM) ,专门 讨论 网 络 管理 的 有 关 问 题 。 近 几 年 来 ,又 有 一 些 厂商 和 组 
织 推出 了 自己 的 网 络 管理 解决 方案 ,各 大 计算 机 与 网 络 通 信 厂 商 也 推出 了 各 自 的 网 络 管理 
系统 ,如 HP 的 OpenView、IBM 的 NetView 等 ,它们 都 已 在 各 种 实际 应 用 环境 中 得 到 了 一 
定 的 应 用 ,并 已 有 了 相当 的 影响 。 


1.1.2 网 络 管理 的 需求 


从 用 户 的 角度 讲 , 一 个 网 络 管理 系统 应 该 满足 以 下 要 求 。 

1. 同时 支持 网 络 监视 和 控制 两 方面 的 能 力 

网 络 监视 功能 是 为 了 掌握 网 络 运行 的 实时 状态 ; 而 网 络 控制 功能 是 采取 措施 影响 网 络 
的 运行 状态 。 许 多 网 络 管理 功能 同时 包含 这 两 方面 的 能 力 , 例 如 ,在 故障 管理 中 ,网 络 监视 
能 力 用 来 发 现 和 诊断 网 络 故障 ,网 络 控制 能 力 用 来 分 离 故 障 、 定 位 故障 、 最 终 排除 故障 。 

2. 能 够 管理 所 有 的 网 络 协议 

现代 网 络 体系 结构 是 分 层 设计 的 ,网 络 的 功能 和 完成 功能 的 协议 也 是 分 层 的 ,不 同 层次 
的 协议 完成 不 同 的 功能 ,也 可 能 处 于 不 同 的 运行 状态 ,因此 通用 的 网 络 管理 系统 应 该 能 够 管 
理 网 络 中 尽 可 能 多 的 协议 层 。 

3. 尽 可 能 大 的 管理 范围 

在 管理 尽 可 能 多 的 网 络 协议 层 的 同时 ,还 应 该 考虑 扩大 网 络 管理 的 范围 ; 不 仅 管理 点 
到 点 的 网 络 通信 ,还 应 管理 端 到 端的 网 络 通信 ; 不 仅 管理 基本 的 网 络 设备 ,还 应 该 具有 管理 
应 用 的 功能 。 

4. 尽 可 能 小 的 系统 开销 

管理 尽 可 能 多 的 协议 层 和 尽 可 能 大 的 范围 肯定 是 以 增 大 系统 开销 为 代价 的 ,所 以 网 络 
管理 系统 应 该 根据 实际 情况 对 网 络 管理 的 范围 和 所 需 系统 开销 作 一 个 统一 的 、 合 理 的 分 配 
和 选择 。 在 网 络 管理 任务 不 打折 扣 的 前 提 下 , 尽 可 能 减少 系统 开销 ,提高 网 络 的 运行 效率 。 
而 且 , 由 于 网 络 管理 系统 的 运行 会 增加 网 络 的 额外 流量 ,所 以 ,减少 系统 开销 的 另 一 个 方面 
就 是 用 于 实现 网 络 管理 的 带宽 开销 必须 合理 。 

5. 可 以 管理 不 同 厂家 的 连 网 设备 

现代 大 型 计算 机 网 络 一 般 是 由 不 同 厂家 提供 的 设备 连接 而 成 的 ,网 络 管理 和 运行 应 该 
不 受 具 体 厂 家 设备 的 限制 。 

6. 容纳 不 同 的 网 络 管理 系统 

大 型 计算 机 网 络 一 般 可 能 连接 不 同 的 地 区 或 局 域 计算 机 网 络 , 这 些 网 络 可 能 具备 各 自 
不 同 的 网 络 管理 功能 。 而 尽 可 能 容纳 不 同 的 管理 功能 ,形成 全 网 统一 的 网 络 管理 和 运行 机 
制 是 十 分 重要 的 。 


7. 网 络 管理 的 标准 化 

管理 不 同 三 家 的 连 网 设备 和 容纳 不 同 的 网 络 管理 系统 一 般 应 该 通过 网 络 管理 的 标准 化 
来 实现 。ISO 十 分 重视 网 络 管理 的 标准 化 工作 ,制定 了 一 系列 的 网 络 管理 标准 。Internet 
在 实践 中 已 形成 了 一 整套 的 网 络 管理 工业 标准 ,网 络 管理 系统 的 设计 和 运行 应 该 采用 标准 
化 的 网 络 管理 机 制 和 协议 。 


1.1.3 网 络 管理 的 概念 


一 般 来 说 ,网 络 管理 就 是 通过 某 种 方式 对 网 络 进行 管理 ,使 网 络 能 正常 高 效 地 运行 。 
其 目的 很 明确 ,就 是 使 网 络 中 的 资源 得 到 更 加 有 效 的 利用 。 它 应 维护 网 络 的 正常 运行 ， 
当 网 络 出 现 故障 时 能 及 时 报告 和 处 理 , 并 协调 、 保 持 网 络 系统 的 高 效 运行 等 。 国 际 标准 
化 组 织 在 ISO/IEC7498 一 4 中 定义 并 描述 了 开放 系统 互 连 (OSD) 管 理 的 术语 和 概念 ,提出 
了 一 个 OSI 管理 的 结构 并 描述 了 OSI 管理 应 有 的 行为 。 它 认为 ,开放 系统 互 连 管理 是 指 
这 样 一 些 功 能 ,它们 控制 .协调 、 监 视 OSI 环境 下 的 一 些 资源 ,这 些 资源 保证 OSI 环境 下 
的 通信 。 

1. OSI 管理 框架 

OSI 系统 管理 操作 在 对 等 的 开放 系统 之 间 进 行 ,一 个 系统 为 管理 者 , 另 一 个 系统 起 代理 
的 作用 , 即 管理 者 实施 管理 功能 ,而 代理 接受 管理 者 的 查询 ,并 且 根 据 管理 者 的 命令 设置 管 
理 对 象 的 参数 。 

管理 者 和 代理 要 能 够 互相 通信 ,它们 之 间 就 要 互相 了 解 , 这 可 以 通过 交换 应 用 上 下 文 
(Application Context,AC) 实 现 。AC 是 指 管理 者 和 代理 之 间 共 同 使 用 的 应 用 服务 元 素 及 
其 调用 规则 。 至 于 具有 哪些 功能 和 功能 单元 ,支持 哪些 管理 对 象 类 ,管理 功能 和 管理 对 象 之 
间 有 什么 关系 等 ,也 是 彼此 需要 了 解 的 ,这 些 叫 做 共享 的 管理 知识 。 系 统管 理应 用 实体 的 管 
理 知识 存储 在 本 地 的 文件 中 ,在 应 用 联系 建立 阶段 ,通过 交换 应 用 上 下 文 ,形成 共享 的 管理 
知识 。 

2. 通信 机 制 

管理 者 和 代理 间 的 信息 交换 是 通过 协议 数据 单元 (PDU) 进 行 的 。 通 常 是 管理 者 向 代 
理发 送 请 求 PDU ,代理 以 响应 PDU 回答 ,而 管理 信息 包含 在 PDU 参数 中 。 在 有 些 情况 下 ， 
代理 也 可 能 向 管理 者 发 送 消 息 , 通 常 把 这 种 消息 叫做 时 间 报 告 (或 通知 ) ,管理 者 可 根据 报告 
的 内 容 决 定 是 否 作出 回答 。 

为 了 及 时 了 解 管理 对 象 的 最 新 情况 ,代理 必须 经 常 地 查询 对 象 的 各 种 参数 ,这 种 定期 查 
询 叫 做 轮 询 (Polling)。 轮 询 的 间隔 或 频 度 对 于 网 络 管理 的 性 能 有 很 大 的 影响 。 轮 询 过 于 
频繁 ,会 加 重 网 络 通信 和 负载 ; 轮 询 稀少 ,又 不 能 及 时 掌握 管理 对 象 的 最 新 状态 ,所 以 轮 询 的 
间隔 应 根据 网 络 配置 和 管理 标准 仔细 设计 。 另 外 ,如 果 管 理 对 象 中 出 现 了 特殊 情况 ,管理 对 
象 不 必 等 待 代理 查询 ,可 直接 向 代理 发 出 通知 。 如 果 必 要 ,代理 可 以 把 对 象 的 通知 以 事件 报 
告 的 形式 发 往 管理 者 。 

有 时 管理 者 想 知道 代理 是 否 存在 ,是 否 可 随时 与 之 通信 。 这 时 可 以 利用 一 种 叫做 “ 心 
跳 ”( Heartbeats) 的 机 制 , 即 代理 每 隔 一 定时 间 向 管理 者 发 出 信号 ,报告 自己 的 状态 。 同 样 ， 
“心跳 ”的 间隔 也 是 需要 慎重 决策 的 。 


网 络 管 理 基 础 


网 络 管 理 黄 太 孝 程 


3. 管理 域 和 行政 域 

对 于 分 布 式 管理 ,管理 域 是 一 个 重要 的 概念 ,管理 对 象 的 集合 叫做 管理 域 。 管 理 域 的 划 
分 可 能 是 基于 地 理 范围 的 ,也 可 能 是 基于 管理 功能 的 ,或 者 是 基于 技术 的 原因 。 无 论 怎样 划 
分 ,其 目的 都 是 对 于 不 同 管理 域 中 的 对 象 实行 不 同 的 管理 策略 。 

每 个 管理 域 有 一 个 唯一 的 名 字 , 包 含 一 组 被 管理 对 象 ,代理 和 管理 对 象 之 间 有 一 套 通信 
规则 。 属 于 一 个 管理 域 的 对 象 也 可 能 属于 另 一 个 管理 域 , 当 网 络 被 划分 为 不 同 的 管理 域 后 ， 
还 应 该 有 一 个 更 高 级 的 控制 中 心 ,以 免 引 起 混乱 。 因 而 在 以 上 概念 模型 的 基础 上 又 引入 行 
政 域 的 概念 。 行 政 域 的 作用 是 划分 和 改变 管理 域 , 协 调 管理 域 之 间 的 关系 。 此 外 ,行政 域 也 
对 本 域 中 的 管理 对 象 和 代理 实施 管理 和 控制 。 

4. 管理 信息 结构 

管理 信息 描述 管理 对 象 的 状态 和 行为 ,OSI 标准 采用 面向 对 象 的 模型 定义 管理 对 象 。 
按照 对 象 类 的 继承 关系 ,表示 管理 信息 的 所 有 对 象 类 组 成 一 个 继承 层次 树 。 设 计 一 个 新 的 
对 象 类 时 不 必 全 部 从 头 开始 ,可 以 根据 新 数据 类 型 的 属性 和 已 有 对 类 的 相似 关系 把 新 类 插 
和 到 继承 层次 树 中 。 相 同 的 属性 可 以 从 父 类 中 继承 ,再 在 父 类 的 基础 上 设计 新 对 象 类 的 特 
性 ,从 而 减少 了 设计 工作 量 。 

OSI 管理 的 面向 对 象 模型 是 一 个 非常 复杂 的 模型 ,几乎 宫 括 了 已 知 的 所 有 面向 对 象 的 
概念 ,例如 多 继承 性 、 多 态 性 和 同 质 异 品 性 等 。 多 继承 性 是 指 一 个 子 类 有 多 个 超 类 ; 多 态 性 
源 于 继承 性 , 子 类 继承 超 类 的 操作 ,同时 又 对 继承 的 操作 做 了 特别 的 修改 ,这 样 不 同 的 对 象 
类 对 同一 操作 会 做 出 不 同 的 响应 ,这 种 特性 就 叫做 多 态 性 ; 同 质 异 晶 性 是 指 一 个 对 象 可 以 
是 多 个 对 象 类 的 实例 ,例如 ,一 个 协议 有 两 个 兼容 版 本 ,一 个 协议 实体 既是 老 版 本 的 实例 ,又 
是 新 版 本 的 实例 。 

一 个 管理 对 象 可 以 是 另 一 个 管理 对 象 的 一 部 分 ,这 就 形成 了 管理 对 象 之 间 的 包含 关系 。 
包含 关系 可 以 表示 成 有 向 的 包含 树 。 包 含 树 与 对 象 名 的 命名 有 关 , 因 而 包含 树 对 应 于 对 象 
命名 树 。 对 象 的 名 字 分 为 全 局 名 和 本 地 名 。 全 局 名 从 包含 树 的 树 根 开始 ,向 下 级 联 各 个 被 
包含 对 象 的 名 字 ,直到 指称 的 对 象 ; 而 本 地 名 则 可 以 从 任意 上 级 包含 对 象 的 名 字 开 始 向 下 
级 联 。 

5. 系统 管理 支持 功能 

简单 地 说 ,应 用 层 由 应 用 进程 (Application Process, AP ) 及 其 使 用 的 应 用 实体 
(Application Entity,AE) 组 成 ,应 用 进程 把 信息 处 理 功 能 和 通信 功能 组 合 在 一 起 ,通过 一 个 
全 局 的 名 字 可 以 调用 这 个 功能 。 应 用 进程 的 通信 功能 是 由 应 用 实体 实现 的 。 为 了 实现 不 同 
性 质 的 通信 ,一 个 应 用 进程 可 能 使 用 一 个 或 多 个 应 用 实体 。 应 用 实体 还 可 以 再 划分 为 应 用 
服务 元 素 (Application Service Element,ASE)。ASE 是 具有 简单 通信 和 能力 的 功能 模块 ,对 
等 的 ASE 之 间 有 专用 的 服务 定义 和 协议 规范 。 应 用 实体 首先 要 与 对 等 的 应 用 实体 建立 应 
用 联系 (Application Association, AA), 然 后 才能 通信 。 建 立 应 用 联系 的 过 程 主要 是 交换 
AC。AC 是 可 以 用 名 字 ( 对 象 标 识 符 ) 引 用 的 一 组 ASE 及 其 调用 规则 ,在 建立 联系 期 间 通 
过 协商 确定 共同 认可 的 AC, 并 在 应 用 活动 期 间 遵守 商定 的 通信 规则 。 

应 用 服务 元 素 分 为 公用 服务 元 素 和 专用 服务 元 素 。 在 网 络 管理 中 使 用 的 公用 服务 元 素 
有 联系 控制 服务 元 素 (ACSE) 和 远程 操作 服务 元 素 (ROSE)。ACSE 专门 用 于 建立 应 用 联 
系 ,这 个 元 素 对 任何 应 用 都 是 必要 的 ; ROSE 用 于 实现 对 等 应 用 实体 之 间 远 程 过 程 调用 , 当 


启动 管理 对 象 中 的 特殊 操作 时 要 利用 这 个 元 素 。 网 络 管理 中 使 用 的 专用 服务 元 素 叫 
管理 信息 服务 元 素 (CMISE), 这 一 组 服务 元 素 共同 组 成 公共 管理 信息 服务 (CMIS)， 
管理 标准 中 ,公共 管理 服务 元 素 和 公共 管理 协议 操作 一 一 对 应 。 


1.2 网 络 管理 的 基本 要 素 


网 络 管理 需要 能 够 监视 和 控制 网 络 中 的 各 种 物理 介质 和 连 网 设备 .计算 机 设备 、 网 络 互 
联 设备 .操作 系统 软件 等 各 种 硬件 .固件 和 软件 元 素 资源 。 其 基本 要 素 主要 包括 3 个 方面 : 
网 络 管理 对 象 、 网 络 管理 方法 和 网 络 管理 系统 。 

1. 网 络 管理 对 象 

网 络 管理 对 象 可 以 理解 为 网 络 管理 的 环境 , 它 主 要 有 以 下 4 类 。 

(1) 网 络 信号 传输 系统 : 网 络 信号 传输 系统 是 指 网 络 信号 传输 系统 所 涉及 的 各 类 物理 
设施 ,如 网 络 传输 介质 等 。 

(2) 网 络 节点 设备 : 网 络 节点 设备 是 指 计算 机 网 络 中 的 主机 (服务 器 )、 工 作 站 、 网 桥 、 
网 关 、 路 由 器 ,交换 机 、 提 供 智 能 业务 的 控制 点 (如 硬件 防火 墙 等 ) .广域网 的 接 和 人 设备 、 信 令 
设备 等 。 

(3) 网 络 间 的 联系 : 网 络 上 各 种 设备 要 按照 一 定 的 方法 建立 相应 的 联系 ,这 种 联系 实 
际 上 描述 了 网 络 上 设备 之 间 的 关系 ,这 种 关系 就 形成 了 网 络 。 通 常 所 说 的 网 络 , 都 是 指 网 络 
上 的 节点 和 节点 设备 间 的 某 种 关系 。 

(4) 网 络 上 的 业务 : 网 络 能 够 提供 各 种 服务 ,表现 为 网 络 用 户 ( 工 作 站 ) 上 的 具体 业务 
应 用 。 作 为 网 络 管理 对 象 . 业 务 、 网 络 和 网 络 上 的 节点 设备 ,在 形态 上 有 很 大 的 区 别 。 网 络 
上 的 节点 设备 是 物理 意义 上 存在 的 实体 。 网 络 间 的 关系 不 像 节点 设备 有 明显 的 物理 存在 特 
征 , 但 网 络 用 户 可 以 通过 业务 节点 设备 和 传输 设备 感受 到 。 

2. 网 络 管理 方法 

网 络 管理 方法 根据 划分 的 标准 ,可 以 分 为 很 多 种 ,以 下 是 一 些 常 用 网 络 管理 方法 的 
分 类 : 

(1) 根据 网 络 管理 的 分 布 或 集中 ,可 分 为 基于 分 布 管理 的 网 络 管理 方法 和 基于 集中 管 
理 的 网 络 管理 方法 。 

(2) 根据 网 络 管理 环境 ,可 以 分 为 面向 狭义 的 网 络 管理 环境 的 网 络 管理 方法 和 面向 广 
义 的 网 络 管理 环境 的 网 络 管理 方法 。 

(3) 根据 是 否 具有 智能 特征 ,可 以 分 为 智能 化 的 网 络 管理 方法 和 常规 性 的 网 络 管理 
方法 。 

(4) 根据 采用 网 络 管理 标准 的 程度 ,可 分 为 基于 标准 的 网 络 管理 方法 和 基于 非 标 准 的 
网 络 管理 方法 。 

3. 网 络 管理 系统 

网 络 管理 系统 是 指 在 网 络 管理 环境 中 实现 网 络 管理 方法 的 计算 机 应 用 系统 ,如 IBM 公 
司 开发 的 Tivoli NetView 网 络 管理 系统 、HP 公司 开发 的 OpenView 网 络 管理 系统 、 锐 捷 网 
络 公 司 开 发 的 StarView 网 络 管理 系统 等 。 
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1.3 网 络 管理 的 目标 和 内 容 


1. 网 络 管理 的 目标 

网 络 管理 的 目标 就 是 最 大 限度 增加 网 络 的 可 用 性 ,合理 组 织 和 配置 系统 资源 ,提供 安 
全 可靠 有效 和 优质 的 服务 ,保证 网 络 正 常 经济、 可 靠 和 安全 地 运行 。 或 者 说 网 络 管理 的 
目标 就 是 对 网 络 资 源 进行 合理 分 配 和 控制 ,以 满足 业务 提供 者 的 要 求 和 网 络 用 户 的 需要 ,使 
网 络 资源 得 到 最 大 限度 的 利用 ,使 整个 网 络 更 加 经 济 地 运行 ,并 同时 提供 连续 ,可 靠 和 稳定 
的 服务 。 主 要 包括 以 下 几 方 面 : 

。 减少 停机 时 间 ,改进 响应 时 间 ,提高 设备 利用 率 。 

。 减少 运行 费用 ,提高 效率 。 

。 减少 /消灭 网 络 瓶颈 。 

。 适应 新 技术 (多 媒体 .多 种 平台 ) 。 

。 使 网 络 更 容易 使 用 。 

2. 网 络 管理 的 内 容 

现代 网 络 管理 的 内 容 通 常 可 用 运行 ,控制 ,维护 和 提供 加 以 区 分 ,概括 为 以 下 几 方 面 。 

。 运行 : 针对 网 络 用 户 提 供 的 服务 而 开展 的 、 面 向 网 络 整 体 进行 的 管理 活动 ,如 用 户 


管理 和 用 户 计 费 等 。 
。 控制 : 针对 网 络 用 户 提供 的 有 效 服务 ,为 满足 服务 质量 要 求 而 进行 的 管理 活动 ,如 
对 网 络 流量 的 管理 。 


。 维护 : 针对 保障 网 络 机 器 设备 的 正常 .可 靠 .连续 运行 而 进行 的 活动 ,如 故障 的 监 
测 .定位 和 排除 。 维 护 可 分 为 预防 性 维护 和 修正 性 维护 。 

提供 : 针对 网 络 资源 的 服务 而 进行 的 管理 活动 ,如 安装 软件 .配置 各 类 参数 等 ,为 实 
现 某 个 服务 而 提供 资源 .向 用 户 提供 某 项 服务 等 。 


1.4 网 络 管理 系统 的 功能 


1.4.1 故障 管理 


故障 管理 (fault management) 是 网 络 管理 中 最 基本 的 功能 之 一 。 每 个 用 户 都 希望 自己 
有 一 个 可 靠 的 计算 机 网 络 , 当 网 络 中 某 个 部 分 失效 时 ,网络 管理 系统 能 够 迅速 地 查找 到 故障 
并 及 时 排除 。 通 常 迅 速 隔 离 某 个 故障 是 不 大 可 能 的 ,因为 网 络 故障 产生 的 原因 往往 是 相当 
复杂 的 ,特别 是 当 故 障 是 由 多 个 网 络 组 成 部 分 共同 引起 的 时 候 。 在 此 情况 下 ,一 般 先 将 网 络 
修复 ,然后 再 分 析 网 络 故障 的 原因 。 分 析 故 障 原因 对 于 防止 类 似 故 障 的 再 次 发 生 是 相当 重 
要 的 。 网 络 故 障 管理 包括 故障 检测 .隔离 和 纠正 三 方面 ,应 包括 以 下 典型 功能 。 

(1) 故障 监测 : 主动 探测 或 被 动 接收 网 络 上 的 各 种 事件 信息 ,并 识别 出 与 网 络 和 系统 
故障 相关 的 内 容 , 对 其 中 的 关键 部 分 保持 跟踪 ,生成 网 络 故障 事件 记录 。 

(2) 故障 报警 : 接收 故障 监测 模块 传 来 的 报警 信息 ,根据 报警 策略 驱动 不 同 的 报警 程 
序 ,以 报警 窗口 .声音 或 音乐 .电子 邮件 形式 通知 网 络 管理 员 。 


(3) 故障 信息 管理 : 依靠 对 事件 记录 的 分 析 , 定 义 网 络 故障 并 生成 故障 卡片 ,记录 排除 
故障 的 步骤 和 与 故障 相关 的 值班 员 日 志 , 构 造 排 错 行动 记录 .将 事件 -故障 -日 志 构 成 逻辑 上 
相互 关联 的 整体 ,以 反映 故障 产生 、 变 化 、 消 除 的 整个 过 程 的 各 个 方面 。 

(4) 排 错 支持 工具 : 向 管理 人 员 提 供 一 系列 的 实时 检测 工具 ,对 被 管 设备 的 状况 进行 
测试 并 记录 下 测试 结果 以 供 技术 人 员 分 析 和 排 错 ; 根据 已 有 的 排 错 经 验 和 管理 员 对 故障 状 
态 的 描述 给 出 对 排 错 行动 的 提示 。 

(5) 检索 /分 析 故 障 信息 : 浏览 并 且 以 关键 字 检索 查询 故障 管理 系统 中 所 有 的 数据 库 
记录 ,定期 收集 故障 记录 数据 ,在 此 基础 上 给 出 被 管 网 络 系统 、 被 管线 路 设备 的 可 靠 性 参数 。 

网 络 故障 检测 的 依据 是 对 网 络 组 成 部 件 状态 的 监测 。 不 严重 的 简单 故障 通常 被 记录 在 
错误 日 志 中 ,并 不 作 特别 处 理 ; 而 严重 一 些 的 故障 则 需要 向 网 络 管理 系统 “报警 "。 网 络 管 
理 系统 应 根据 有 关 信 息 对 警报 进行 处 理 ,排除 故障 。 当 故障 比较 复杂 时 ,网 络 管理 系统 应 能 
执行 一 些 诊断 测试 来 辨别 故障 原因 。 


1.4.2 计 费 管理 


计 费 管理 (accounting management) 记 录 网 络 资源 的 使 用 ,目的 是 控制 和 监测 网 络 操作 
的 费用 和 代价 。 它 对 一 些 公共 商业 网 络 尤 为 重要 , 它 可 以 估算 出 用 户 使 用 网 络 资源 可 能 需 
要 的 费用 和 代价 ,以 及 已 经 使 用 的 资源 。 网 络 管理 员 还 可 规定 用 户 可 使 用 的 最 大 费用 ,从 而 
控制 用 户 过 多 占用 和 使 用 网 络 资源 ,这 也 从 另 一 方面 提高 了 网 络 的 效率 。 另 外 , 当 用 户 为 了 
一 个 通信 目的 需要 使 用 多 个 网 络 中 的 资源 时 , 计 费 管理 应 可 计算 总 计 费 用 。 计 费 管理 通常 
包含 以 下 内 容 。 

(1) 计 费 数据 采集 : 计 费 数据 采集 是 整个 计 费 系统 的 基础 ,但 计 费 数据 采集 往往 受到 
采集 设备 硬件 与 软件 的 制约 ,而 且 也 与 进行 计 费 的 网 络 资源 有 关 。 

(2) 数据 管理 与 数据 维护 : 计 费 管理 人 工交 互 性 很 强 ,虽然 有 很 多 数据 维护 工作 由 系 
统 自动 完成 ,但 仍然 需要 人 为 管理 ,包括 交纳 费用 的 输入 、 联 网 单位 信息 维护 ,以 及 账单 样式 

(3) 计 费 政策 制定 : 由 于 计 费 政策 经 常 灵 活 变化 ,因此 实现 用 户 自由 制定 输入 计 费 政策 
尤其 重要 。 这 样 需 要 一 个 制定 计 费 政策 的 友好 人 机 界面 和 完善 的 实现 计 费 政策 的 数据 模型 。 

(4) 政策 比较 与 决策 支持 : 计 费 管理 应 该 提供 多 套 计 费 政策 的 数据 比较 ,为 政策 制定 

(5) 数据 分 析 与 费用 计算 : 利用 采集 的 网 络 资源 使 用 数据 、 联 网 用 户 的 详细 信息 以 及 
计 费 政策 计算 网 络 用 户 的 资源 使 用 情况 ,并 计算 出 应 交纳 的 费用 。 

(6) 数据 查询 : 提供 给 每 个 网 络 用 户 关于 自身 使 用 网 络 资源 情况 的 详细 信息 ,网 络 用 
户 根据 这 些 信息 可 以 计算 、 核 对 自己 的 收费 情况 。 


1.4.3 配置 管理 


配置 管理 (configuration management) 同 样 相当 重要 , 它 初始 化 网 络 并 配置 网 络 , 以 使 
其 提供 网 络 服务 。 配 置 管理 是 一 组 对 辨别 .定义 .控制 和 监视 组 成 一 个 通信 网 络 的 对 象 所 必 
要 的 相关 功能 ,目的 是 实现 某 个 特定 功能 或 使 网 络 性 能 达到 最 优 。 配 置 管理 通常 包含 以 下 
内 容 。 
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(1) 配置 信息 的 自动 获取 : 在 一 个 大 型 网 络 中 ,需要 管理 的 设备 是 比较 多 的 ,如 果 每 个 
设备 的 配置 信息 都 完全 依靠 管理 人 员 的 手工 输入 ,工作 量 是 相当 大 的 ,而 且 还 存在 出 错 的 可 
能 性 。 对 于 不 熟悉 网 络 结构 的 人 员 来 说 ,这 项 工作 甚至 无 法 完成 。 因 此 ,一 个 先进 的 网 络 管 
理 系统 应 该 具有 配置 信息 自动 获取 功能 ,即使 在 管理 人 员 不 是 很 熟悉 网 络 结 构 和 配置 状况 
的 情况 下 ,也 能 通过 有 关 的 技术 手段 来 完成 对 网 络 的 配置 和 管理 。 在 网 络 设备 的 配置 信息 
中 ,根据 获取 手段 大 致 可 以 分 为 三 类 : 第 一 类 是 网 络 管理 协议 标准 的 MIB 中 定义 的 配置 信 
息 ; 第 二 类 是 不 在 网 络 管理 协议 标准 中 有 定义 ,但 是 对 设备 运行 比较 重要 的 配置 信息 ; 第 
三 类 是 用 于 管理 的 一 些 辅助 信息 。 

(2) 自动 配置 .自动 备份 及 相关 技术 : 配置 信息 自动 获取 功能 相当 于 从 网 络 设备 中 “ 读 " 信 
息 , 相 应 地 ,在 网 络 管理 应 用 中 还 有 大 量 “ 写 ”信息 的 需求 。 同 样 根据 设置 手段 对 网 络 配 置信 息 
进行 分 类 : 第 一 类 是 可 以 通过 网 络 管理 协议 标准 中 定义 的 方法 进行 设置 的 配置 信息 ; 第 二 类 
是 可 以 通过 自动 登录 到 设备 进行 配置 的 信息 ; 第 三 类 是 需要 修改 的 管理 性 配置 信息 。 

(3) 配置 一 致 性 检查 : 在 一 个 大 型 网 络 中 ,由 于 网 络 设备 众多 ,而 且 由 于 管理 的 原因 ， 
这 些 设备 很 可 能 不 是 由 同一 个 管理 人 员 进 行 配置 的 。 实 际 上 即使 是 同一 个 管理 员 对 设备 进 
行 的 配置 ,也 会 由 于 各 种 原因 导致 配置 一 致 性 问题 。 因 此 ,对 整个 网 络 的 配置 情况 进行 一 致 
性 检查 是 必需 的 。 在 网 络 的 配置 中 ,对 网 络 正常 运行 影响 最 大 的 主要 是 路 由 器 端口 配置 和 
路 由 信息 配置 ,因此 ,要 进行 一 致 性 检查 的 也 主要 是 这 两 类 信息 。 

(4) 用 户 操 作 记 录 功 能 : 配置 系统 的 安全 性 是 整个 网 络 管理 系统 安全 的 核心 ,因此 , 必 
须 对 用 户 进行 的 每 一 配置 操作 进行 记录 。 在 配置 管理 中 ,需要 对 用 户 操作 进行 记录 ,并 保存 
下 来 ,管理 人 员 可 以 随时 查看 特定 用 户 在 特定 时 间 内 进行 的 特定 配置 操作 。 


1.4.4 性 能 管理 


性 能 管理 (performance management) 主 要 是 监视 和 分 析 被 管 网 络 及 其 所 提供 的 服务 ， 
收集 分 析 有 关 被 管 网 络 当前 状况 的 数据 信息 ,维护 和 分 析 性 能 日 志 , 以 评估 系统 资源 的 运行 
状况 及 通信 效率 等 系统 性 能 。 性 能 管理 通常 包括 以 下 内 容 。 

(1) 性 能 监控 : 由 用 户 定义 被 管 对 象 及 其 属性 。 被 管 对 象 类 型 包括 线路 和 路 由 器 ; 被 
管 对 象 属性 包括 流量 、 延 迟 、 丢 包 率 、CPU 利用 率 、 温 度 .内 存 余 量 。 对 于 每 个 被 管 对 象 , 定 
时 采集 性 能 数据 ,自动 生成 性 能 报告 。 

(2) 阔 值 控制 : 可 对 每 一 个 被 管 对 象 的 每 一 条 属性 设置 阔 值 ,对 于 特定 被 管 对 象 的 特 
定 属性 ,可 以 针对 不 同 的 时 间 段 和 性 能 指标 进行 阔 值 设置 。 可 通过 设置 阔 值 检查 开关 控制 
闪 值 检查 和 告警 ,提供 相应 的 阔 值 管理 和 溢出 告警 机 制 。 

(3) 性 能 分 析 : 对 历史 数据 进行 分 析 、 统 计 和 整理 ,计算 性 能 指标 ,对 性 能 状况 作出 判 
断 ,为 网 络 规划 提供 参考 。 

(4) 性 能 报告 : 对 数据 进行 扫描 和 处 理 ,生成 性 能 趋势 曲线 ,以 直观 的 图 形 反 映 性 能 分 
析 的 结果 。 

(5) 性 能 查询 : 可 通过 列表 或 按 关 键 字 检索 被 管 网 络 对 象 及 其 属性 的 性 能 记录 。 


1.4.5 安全 管理 
安全 性 一 直 是 网 络 的 薄弱 环节 之 一 ,而 用 户 对 网 络 安全 的 要 求 又 相当 高 ,因此 网 络 安 全 


管理 (security management) 非 常 重要 。 网 络 中 主要 有 数据 的 私密 性 丢失 、 非 授权 访问 等 安 
全 问题 。 相 应 地 ,网络 安 全 管理 应 包括 对 授权 机 制 . 访 问 控制 ,加密 的 管理 ,另外 还 要 维护 和 
检查 安全 日 志 。 

1. 网 络 安全 管理 机 制 

网 络 安全 管理 由 以 下 机 制 来 保证 。 

(1) 管理 员 身 份 认 证 : 采用 基于 公开 密 钥 的 证 书 认 证 机 制 ; 为 提高 系统 效率 ,对 于 信任 
域内 的 用 户 ,可 以 使 用 简单 口令 认证 。 

(2) 管理 信息 加 密 与 完整 性 : Web 浏览 器 和 网 络 管理 服务 器 之 间 采 用 安全 套 接 字 层 
(SSL) 传 输 协议 ,对 管理 信息 加 密 传输 并 保证 其 完整 性 ; 内 部 存储 的 机 密 信息 ,如 登录 口令 
等 ,也 是 经 过 加 密 的 。 

(3) 访问 控制 : 网 络 用 户 按 任务 的 不 同 分 成 若干 用 户 组 ,不 同 的 用 户 组 有 不 同 的 权限 
范围 ,对 用 户 的 操作 由 访问 控制 检查 ,保证 用 户 不 能 越权 使 用 网 络 管理 系统 。 

(4) 系统 日 志 分 析 : 记录 用 户 所 有 的 操作 ,使 系统 的 操作 和 对 网 络 对 象 的 修改 有 据 可 
查 ,同时 也 有 助 于 故障 的 跟踪 与 恢复 。 

2. 网 络 对 象 的 安全 管理 功能 

网 络 对 象 的 安全 管理 有 以 下 功能 。 

(1) 网 络 资源 的 访问 控制 : 通过 管理 路 由 器 的 访问 控制 表 , 完 成 防火 墙 的 管理 功能 , 即 
从 网 络 层 和 传输 层 控 制 对 网 络 资源 的 访问 ,保护 网 络 内 部 的 设备 和 应 用 服务 ,防止 外 来 的 
攻击 。 

(2) 告警 事件 分 析 : 接收 网 络 对 象 所 发 出 的 告警 事件 ,分 析 安 全 相关 的 信息 ,实时 地 向 
管理 员 告 警 ,并 提供 历史 安全 事件 的 检索 与 分 析 机 制 , 及 时 地 发 现 正在 进行 的 攻击 或 可 疑 的 
攻击 迹象 。 

(3) 主机 系统 的 安全 漏洞 检测 : 实时 地 监测 主机 系统 的 重要 服务 的 状态 ,提供 安全 监 
测 工具 ,以 搜索 系统 可 能 存在 的 安全 漏洞 或 安全 隐患 ,并 给 出 弥补 的 措施 。 


1.5 网 络 管理 模型 


在 网 络 管理 中 ,网 络 管理 人 员 通 过 网 络 管理 系统 对 网 络 资源 的 管理 ,普遍 遵循 的 结构 都 
是 管理 者 -代理 的 管理 模型 ,如 图 1-1 所 示 。 通 常 ,一 个 网 络 管理 系统 从 逻辑 上 由 管理 者 ( 管 
理 进 程 ) .管理 代理 ,管理 信息 库 ,管理 协议 4 个 要 素 组 成 。 


被 管 对 象 系统 
对 
通信 ns 
“天 人 -一 操作 一 一 
管理 者 |\ 一 通知 。/ | 代理 
一 通 和 一 CD 
本 地 系统 环境 


图 1-1 管理 者 -代理 通信 模型 
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(1) 管理 者 : 网 络 管理 者 是 一 个 控制 台 程 序 , 是 对 网 络 设备 和 设施 进行 全 面 管理 和 控 
制 的 软件 ,一般 位 于 网 络 系统 的 主干 或 主干 位 置 ,运行 于 网 络 管理 中 心 工作 站 上 ,负责 发 出 
所 有 的 控制 指令 与 管理 操作 指令 ,实现 对 管理 代理 的 操作 与 控制 ,并 接收 来 自 代理 的 信息 ， 
包括 被 管理 的 TCP/IP 网 络 总 体 信息 。 其 中 的 控制 台 程序 提供 4 种 功能 , 即 : 数据 分 析 、 故 
障 恢复 的 管理 应 用 程序 ; 监视 和 控制 网 络 的 接口 ; 把 网 络 管理 员 的 要 求 翻译 成 实际 被 管理 
网 络 元 素 ; 从 网 络 中 所 有 设备 提取 信息 形成 信息 库 。 

(2) 管理 代理 : 管理 代理 (简称 代理 ) 是 应 用 进程 中 负责 管理 相关 的 被 管理 对 象 的 部 
分 , 驻 留 于 被 管理 网 络 设备 上 或 被 管 网 络 应 用 处 ,实现 搜索 被 管 设备 原始 状态 , 它 把 来 自 管 
理 者 的 命令 或 信息 请 示 转 换 为 自身 设备 特有 的 指令 ,完成 管理 者 的 指示 ,或 反馈 它 所 在 的 设 
备 信息 。 另 外 ,代理 也 可 以 把 在 自身 系统 中 所 发 生 的 事件 自动 地 通知 给 管理 者 。 被 管理 的 
设备 是 需要 被 监控 的 网 络 部 件 或 设施 ,包括 工作 站 、 服 务 器 、 网 卡 、 交 换 机 和 路 由 器 。 

一 个 管理 者 可 以 和 多 个 代理 进行 信息 交互 ,同时 一 个 代理 也 可 以 接受 来 自 多 个 管理 者 
的 管理 操作 。 一 般 的 代理 都 是 返回 它 本 身 设备 的 信息 ,在 网 络 代 理 中 还 有 另外 一 种 代 
理 一 一 转换 代理 , 它 提供 关于 其 他 系统 或 其 他 设备 的 信息 ,使 用 转换 代理 ,管理 者 可 以 管理 
多 种 类 型 的 设备 。 

(3) 管理 信息 库 (MIB): MIB 是 被 管 对 象 结构 化 组 织 的 一 种 抽象 。 它 是 一 个 概念 上 的 
数据 库 ,由 管理 对 象 组 成 ,各 个 代理 管理 MIB 中 属于 本 地 的 管理 对 象 ,各 管理 代理 控制 的 管 
理 对 象 共 同 构 成 全 网 的 管理 信息 库 。 代 理 具有 从 MIB 中 读 取 各 种 变量 值 和 在 MIB 中 修改 
各 种 变量 值 两 个 基本 功能 。 

(4) 管理 协议 : 用 于 网 络 管理 者 和 管理 代理 之 间 传 递 信息 ,并 完成 信息 交换 安全 控制 
的 通信 规约 称 为 网 络 管理 协议 。 网 络 管理 者 通过 网 络 管理 协议 从 管理 代理 那里 获取 管理 信 
息 或 向 管理 代理 发 送 命令 ; 管理 代理 也 可 以 通过 网 络 管理 协议 主动 报告 紧急 信息 。 


1.6 网 络 管理 标准 


1.6.1 网 络 管理 标准 概述 


为 了 能 支持 各 种 网 络 的 互 连 及 其 管理 ,网 络 管理 必须 要 遵从 国际 性 的 标准 与 协议 。 国 
际 上 有 一 些 组 织 机 构 致 力 于 研究 、 制 定 、 开 发 网 络 管理 的 服务 标准 、 协 议和 体系 结构 ,其 中 最 
重要 的 有 国际 标准 化 组 织 (ISO) 、 国 际 电信 联盟 电信 标准 化 部 (ITU-T) 和 工程 任务 组 
(CIETF) 。 

在 这 三 个 组 织 中 ,ISO 是 第 一 个 开发 网 络 管理 结构 .制定 网 络 管理 标准 的 组 织 , 早 在 20 
世纪 80 年 代 初期 ,ISO 就 确定 了 网 络 管理 体系 结构 作为 其 “开放 系统 互 连 (OSTD) ”工作 的 组 
成 部 分 。 至 今 ,该 组 织 已 制定 了 大 量 的 有 关 网 络 管理 的 标准 ,其 内 容 统称 为 OSI 系统 管理 。 

从 1985 年 开始 ,ITU( 以 前 为 CCITT) 致 力 于 开发 和 制定 电信 网 的 网 络 管理 标准 ,并 且 
在 1988 一 1992 年 的 研究 期 间 , 引 进 了 许多 OSI 管理 思想 .目前 已 经 形成 了 较为 完善 的 电信 
网 络 管理 推荐 标准 , 即 TMN 网 络 管理 。 由 于 前 面 一 段 的 发 展 经 历 , 实 际 上 现在 的 OSI 管理 
标准 与 TMN 推荐 标准 可 以 互 为 补充 。 

20 世纪 80 年 代 后 , Internet 发 展 迅 猛 , IETF 采用 了 基于 OSI 的 CMIP 协议 作为 


Internet 的 管理 协议 ,并 对 它 作 了 修改 ,修改 后 的 协议 被 称 做 CMOT。 但 CMOT 迟 迟 未 能 
出 台 ,IETF 决定 把 已 有 的 SGMP 进一步 修改 后 ,作为 临时 的 解决 方案 。 这 个 在 SGMP 基 
础 上 开发 的 解决 方案 就 是 著名 的 SNMP。 由 于 SNMP 存在 一 些 不 足 ,IETF 已 经 提出 了 改 
进 版 本 SNMP v2,SNMP v3, 在 多 个 方面 进行 改进 和 强化 。 

从 20 世纪 末 开 始 ,网 络 管理 的 概念 已 经 逐渐 超越 了 传统 的 在 网 络 和 网 元 管理 层 的 五 大 
管理 功能 ,但 还 没有 超出 TMN 定义 的 管理 层次 范围 。 电 信 管理 论坛 (TMF) 提 出 的 “新 一 
代 电 信和 运营 支撑 系统 "(NGOSS) ,涵盖 了 企业 生产 经 营 、 网 络 运 维 \ 企 业 管 理 等 各 个 层面 ,为 
企业 的 运营 提供 有 效 且 完整 的 技术 支持 。NGOSS 中 的 电信 运营 业务 框架 TOM 将 一 般 的 
网 管 扩 展 到 了 OSS 的 全 部 范围 ,而 其 后 的 eTOM 则 进一步 扩展 到 电信 企业 的 OSS/BSS。 
从 目前 规范 涉及 的 主要 内 容 来 讲 ,eTOM 现 有 的 内 容 主 要 相当 于 TMN 中 的 商务 管理 层 和 
业务 管理 层 , 而 SG4 的 TMN 中 现 有 建议 的 主体 是 网 络 管理 层 和 网 元 管理 层 。 

从 已 有 的 标准 和 技术 趋势 来 看 ,网 络 管理 标准 主要 是 在 管理 体系 结构 、 管 理 信息 模型 和 
管理 协议 方面 提出 一 些 规范 和 建议 。 关 于 管理 框架 和 体系 结构 的 标准 有 NGOSSCTMF)、 
OSS through Java(OSS/j) ,OSA/Parlay (ParlayConsortium ,ETSI,3GPP), TMN(ITU-T) 
等 。 有 关 信 息 模 型 的 标准 有 TMEF 的 共享 信息 /数据 模型 (SID) ,核心 事务 实体 (OSS/j)， 
DMTF 的 通用 信息 模型 (CIM),OMG 的 MDA 等 。 关 于 管理 协议 方面 的 有 IETF 的 
SNMP、COPS、LDAP,ITU-T 的 CMIP、IPDR, 及 另外 一 些 用 于 通过 IP 传输 数据 的 安全 
协议 。 

1.6.2 网 络 管理 体系 结构 


定义 网 络 管理 系统 的 结构 及 系统 成 员 间 相 互 关 系 的 一 套 规则 称 为 网 络 管理 体系 结构 。 
目前 ,典型 网 络 管理 体系 结构 有 以 下 几 种 。 

1. 基于 Internet/SNMP 的 网 络 管理 体系 结构 

SNMP 网 络 管理 体系 结构 由 管理 者 (管理 进程 ) .代理 和 管理 信息 库 三 部 分 组 成 。 管 理 
者 是 管理 指令 的 发 出 者 ,这 些 指令 包括 一 些 管理 操作 。 管 理 者 通过 各 设备 的 管理 代理 对 网 
络 内 的 各 种 设备 .设施 和 资源 实施 监视 和 控制 。 代 理 负责 管 理 指令 的 执行 ,并 且 以 通知 的 形 
式 向 管理 者 报告 被 管 对 象 发 生 的 一 些 重要 事件 。 

SNMP 是 一 个 异步 的 请 求 /响应 协议 ,SNMP 实体 不 需要 在 发 出 请 求 后 等 待 响应 到 来 。 
SNMP 中 包括 了 4 种 基本 的 协议 交互 过 程 , 即 有 4 种 操作 

。 get 操作 用 来 提取 指定 的 网 络 管理 信息 。 

。 get-next 操作 提供 扫描 MIB 树 和 依次 检索 数据 的 方法 。 

。 set 操作 用 来 对 管理 信息 进行 控制 。 

。 trap 操作 用 于 通报 重要 事件 的 发 生 。 

在 这 4 个 操作 中 ,前 三 个 请 求 是 由 管理 者 发 给 代理 ,需要 代理 发 出 响应 给 管理 者 ,最 后 
一 个 则 是 由 代理 发 给 管理 者 ,但 并 不 需要 管理 者 响应 。 

SNMP 在 计算 机 网 络 中 应 用 非常 广泛 ,已 经 成 为 事实 上 的 计算 机 网 络 管理 的 标准 。 但 
是 SNMP 有 许多 缺点 ,是 它 自 身 难 以 克服 的 : 

(1) SNMP 不 适合 真正 大 型 网 络 管理 ,因为 它 是 基于 轮 询 机 制 的 ,这 种 方式 有 严重 的 性 
能 问题 。 
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(2) SNMP 不 适合 查询 大 量 的 数据 。 

(3) SNMP 的 trap 命令 是 无 确认 的 ,这 样 有 可 能 导致 不 能 确保 非常 严重 的 告警 是 否 发 
送 到 管理 者 。 

(4) 安全 管理 较 差 。 

(5) 不 支持 如 创建 .删除 动作 等 类 型 的 操作 ,要 完成 这 些 操作 ,必须 用 set 命令 间接 地 
触发 。 

(6) SNMP 的 MIB 模型 不 适合 比较 复杂 的 查询 。 

2. 基于 OSI/CMIP 的 网 络 管理 体系 结构 

在 OSI/CMIP 网 络 管理 体系 结构 中 ,基本 概念 有 系统 管理 应 用 进程 (SMAP) 、 系 统管 理 
应 用 实体 (SAME) . 层 管理 实体 和 管理 信息 库 (MIB) 等 。 系 统管 理应 用 进程 是 执行 系统 管 
理 功能 的 软件 , 它 管理 系统 的 各 个 方面 并 与 其 他 系统 的 SMAP 相互 协调 ; 系统 管理 应 用 实 
体 负责 与 其 他 系统 的 对 等 SAME 间 交 换 管理 信息 , 它 包括 如 SMAS、CMISE、ROSE 和 
ACSE 等 服务 元 素 ; 层 管理 实体 提供 对 OSI 各 层 特定 的 管理 功能 ; MIB 是 系统 中 属于 网 络 
管理 方面 的 信息 的 集合 。 

OSI 系统 管理 中 用 于 定义 和 组 织 MIB 的 通用 框架 是 管理 信息 模型 (MIM),MIM 定义 
了 如 何 表示 与 命名 MIB 中 的 资源 。MIM 建立 在 面向 对 象 的 概念 基础 之 上 ,对 于 每 个 要 管 
理 的 资源 ,都 抽象 成 管理 对 象 (Managed Object,MO) 。 一 个 管理 对 象 是 从 管理 的 角度 采用 
面向 对 象 方法 对 资源 的 一 种 抽象 。 通 过 封装 的 手段 ,管理 对 象 屏 项 了 与 管理 无 关 的 资源 信 
息 , 提 供给 管理 系统 一 个 用 来 交换 管理 信息 的 标准 接口 。 

管理 对 象 使 用 管理 对 象 定义 指南 描述 , MO 间 的 关系 主要 包括 继承 和 包含 关系 。 继 承 
关系 描述 的 是 管理 对 象 类 之 间 的 关系 , 它 与 面向 对 象 方法 中 继承 的 概念 是 一 致 的 。 包 含 关 
系 描述 的 是 管理 对 象 实 例 间 的 关系 ,实际 上 可 以 看 做 是 现实 世界 中 的 包含 关系 。 

OSI 系统 管理 中 最 基本 的 功能 是 在 两 个 管理 实体 间 通 过 协议 交换 管理 信息 。 在 OSI 
系统 管理 中 ,此 项 功能 为 CMISE。CMISE 分 为 CMIS 和 CMIP 两 个 部 分 : CMIS 描述 提供 
给 用 户 的 服务 ; CMIP 描述 完成 CMIS 服务 的 协议 数据 单元 及 其 相关 联 的 过 程 。CMIS 定 
义 了 提供 给 OSI 系统 管理 的 服务 ,这 些 服务 由 管理 进程 调用 进行 远程 通信 。CMIS 包括 相 
关联 服务 ,管理 通知 服务 和 管理 操作 服务 ,CMIS 共 提 供 了 7 种 服务 原 语 。CMIP 定义 了 管 
理 信 息 传输 过 程 和 CMB 管理 业务 的 语法 ,CMIP 是 提供 管理 信息 传输 服务 的 应 用 层 协 议 ， 
它 接 受 管理 应 用 进程 的 CMIS 服务 原 语 ,构造 特定 的 应 用 层 协议 数据 单元 ,通过 会 话 层 或 其 
他 协议 层 传送 到 对 等 的 CMIP 协议 实体 ,再 传送 到 用 户 进 程 。CMIP 支持 CMIS 提供 的 上 
述 服务 , 它 在 CMISE 间 传 递 管理 信息 。 

OSIL/CMIP 网 络 管理 体系 结构 是 以 更 通用 更 全 面 的 观点 来 组 织 一 个 网 络 的 管理 系统 ， 
它 的 开放 性 、 着 眼 与 网 络 未 来 发 展 的 设计 思想 ,使 得 它 有 很 强 的 适应 性 ,能 够 处 理 任何 复杂 
系统 的 综合 管理 。 然 而 正 是 OSI 系统 管理 这 种 大 而 全 的 思想 ,导致 其 有 如 下 缺点 : 

(1) OSI 系统 管理 违反 了 OS 参考 模型 的 基本 思想 。 

(2) 故障 管理 的 问题 。 由 于 OSI 系统 管理 用 到 了 OSI 各 层 的 服务 传送 管理 信息 ,使 得 
OSI 系统 管理 不 能 管理 通信 系统 自己 内 部 的 故障 。 

(3) 缺乏 管理 者 特定 的 功能 描述 。OSI 系统 管理 标准 仅仅 定义 了 一 个 独立 管理 操作 ， 
但 并 没有 定义 这 些 操作 的 序列 ,以 完成 管理 者 要 解决 的 特定 问题 。 


(4) OSI 系统 管理 太 复杂 : CMIP 的 功能 极其 灵活 强大 ,使 得 OSI 系统 管理 方法 太 复 
杂 , 从 而 OSI 系统 管理 与 实际 的 应 用 有 距离 ,OSI 在 实际 应 用 中 不 成 功 。 

(5) 缺乏 相应 的 开发 工具 ,这 种 开发 工具 可 以 使 开发 者 不 需 了 解 OSI 管理 ,而 代理 系统 
花费 太 高 。 

(6) OSI 系统 管理 不 是 纯 面 向 对 象 的 : OSI 系统 管理 虽然 管理 信息 建 模 是 面向 对 象 的 ， 
但 管理 信息 传送 却 不 是 面向 对 象 的 。 

3. 基于 TMN 的 网 络 管理 体系 结构 

电信 管理 网 (TMN) 是 一 个 逻辑 上 与 电信 和 网 分 离 的 网 络 , 它 通过 标准 的 接口 (包括 通信 
协议 和 信息 模型 ) 与 电信 网 传送 /接收 管理 信息 从 而 达到 对 电信 网 控制 和 操作 的 目的 。 
TMN 的 管理 体系 结构 比较 复杂 ,可 以 从 4 个 方面 分 别 进行 描述 : 信息 体系 结构 、 功 能 体系 
结构 ,物理 体系 结构 和 逻辑 分 层 体系 结构 。 

(1) 信息 体系 结构 

TMN 的 信息 体系 结构 基本 上 采用 OSI 系统 管理 概念 和 原则 ,如 面向 对 象 的 建 模 方 法 、 
管理 者 与 代理 和 MIB 等 。 

(2) 功能 体系 结构 

把 TMN 的 功能 划分 为 功能 模块 ,每 一 功能 模块 又 是 由 更 小 的 功能 单元 来 构成 的 ,这 是 
TMN 的 功能 体系 结构 的 基本 原则 。 这 一 原则 的 目的 是 简化 TMN 的 实现 ,把 功能 分 布 在 
不 同 的 模块 中 ,功能 模块 间 利用 数据 通信 功能 来 传递 消息 ,并 由 功能 参考 点 来 分 割 ,各 模块 
可 以 独立 实现 ,降低 了 TMN 的 复杂 性 ,提高 了 软件 的 重用 度 。 根 据 新 版 的 ITU-T M. 3011 
的 建议 ,TMN 的 基本 功能 模块 有 4 种 : 操作 系统 功能 (OSF) .工作 站 功能 (WSF) `Q 适 配 功 
能 (QAF) 和 网 元 功能 (NEF) ,功能 参考 点 分 别 为 q,f,x,g 和 m。 

OSF 对 管理 信息 进行 处 理 以 实现 对 电信 和 网 的 监视 、 协 调和 控制 。WSF 为 用 户 提 供 接 
人 到 TMN 的 手段 ,其 功能 包括 终端 的 安全 接 入 和 注册 ,识别 ,确认 ,输入 输出 ,支持 菜单 、 窗 
口 和 分 页 等 。QAF 用 来 连接 TMN 实体 与 非 TMN 实体 ,提供 TMN 参考 点 与 非 TMN 参 
考点 之 间 的 转换 。NEF 表示 被 管理 的 功能 ,同时 也 提供 管理 时 所 需要 的 通信 和 支撑 功能 。 

(3) 物理 体系 结构 

根据 需要 ,TMN 的 功能 结构 可 以 灵活 地 组 成 不 同 的 物理 结构 ,物理 结构 由 物理 实体 组 
成 ,物理 实体 之 间 为 TMN 的 标准 接口 。TMN 的 基本 的 物理 实体 包括 操作 系统 (OS) .工作 
站 (WS).、Q 适 配器 (QA)、 网 元 (NE) 和 数据 通信 和 网 (DCN), 它 们 之 间 的 接口 分 别 为 Q3 接 
口 \.F 接口 和 X 接口。OS 主要 完成 OSF 功能 ,同时 也 可 完成 QAF 功能 和 WSF 功能 。WS 
是 完成 WSF 功能 的 系统 , 即 完成 TMN 信息 模型 与 人 机 界面 表示 形式 之 间 转 换 的 系统 。 
QA 是 连接 非 TMN 网 元 和 TMN 操作 系统 之 间 的 设备 ,完成 QAF 功能 。NE 由 电信 设备 
和 一 些 支撑 设备 组 成 , 主要 完成 NEF 功能 ,也 可 根据 需要 完成 TMN 中 的 其 他 功能 ,如 
QAF、OSF 和 WSF 等 。 当 功能 模块 在 不 同 的 物理 实体 中 实现 时 ,功能 模块 之 间 的 功能 参考 
点 由 物理 实体 之 间 的 相应 物理 接口 替代 ,如 Q3 接口 在 q 参 考点 实现 ,F 接口 在 f 参 考点 实 
现 ,X 接口 在 x 参考 点 实现 。 若 功能 模块 在 一 个 物理 实体 中 实现 时 ,功能 模块 之 间 的 功能 参 
考点 不 转化 为 物理 接口 。 

(4) 逻辑 分 层 体系 结构 

电信 网 络 的 种 类 很 多 ,电信 网 络 的 管理 非常 复杂 ,对 各 类 电信 设备 的 管理 已 经 显示 了 其 
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复杂 性 , 若 对 整个 电信 网 ,甚至 只 是 对 某 个 本 地 网 做 到 综合 管理 都 将 是 一 项 非常 艰巨 和 非常 
复杂 的 任务 。TMN 把 管理 功能 需求 分 解 为 不 同 的 层次 ,每 层 相 对 独立 ,都 由 各 自 的 OSF 
完成 特定 的 管理 功能 , 层 与 层 之 间 由 q 参考 点 分 割 。 在 TMN 建设 初期 可 以 只 完成 低层 的 
管理 功能 ,以 后 逐步 完善 高 层 管理 功能 ,最 终 实现 管理 的 综合 。TMN 的 管理 层次 分 为 5 
层 , 从 低 到 高 依次 为 : 网 元 层 (NEL) 、 网 元 管理 层 (EML) 、 网 络 管理 层 (NML) .业务 管理 层 
(SML) 和 事务 管理 层 (BML)。 其 中 网 元 层 属于 被 管理 层 , 其 他 4 层 属 于 管理 层 。 

TMN 从 20 世纪 80 年 代 中 期 提出 后 ,已 成 为 全 球 接受 的 管理 电信 公众 网 的 框架 。 尽 
管 TMN 有 技术 上 先进 、 强 调 公认 的 标准 和 接口 等 优点 ,但 随 着 计算 机 和 通信 技术 的 不 断 发 
展 ,TMN 自身 也 暴露 出 许多 问题 ,如 目标 太 大 、 抽 象 化 程度 太 高 、MIB 的 标准 化 进度 太 慢 、 
OSI 协议 栈 效率 不 高 等 。 下 面具 体 分 析 TMN 的 不 足 : 

(1) 在 TMN 中 ,接口 是 一 个 重要 的 内 容 ,管理 信 息 模 型 是 接口 中 很 重要 的 一 部 分 。 但 
到 目前 为 止 ,TMN 只 对 网 元 层 的 管理 信息 模型 进行 了 标准 化 ,对 网 络 管理 层 和 业务 管理 层 
的 管理 信息 模型 , 则 只 是 才刚 刚 开 始 相关 的 标准 化 工作 。 

(2) TMN 管理 分 层 问 题 。 虽 然 TMN 的 逻辑 分 层 体系 结构 对 TMN 功能 进行 分 层 ,但 
到 目前 为 止 ,TMN 重视 网 元 层 的 功能 和 管理 信息 模型 ,网 元 层 的 重要 性 和 作用 已 确定 ,但 
更 高 层 和 可 被 每 一 层 接受 的 功能 和 管理 信息 模型 则 仍然 在 讨论 中 。 

(3) TMN 的 描述 接口 复杂 ,OSI 系统 管理 不 稳定 ,TMN 的 管理 信息 模型 很 难 满足 实际 
网 管 系统 开发 的 需求 。 

(4) TMN 的 管理 信息 模型 是 建立 在 OSI 系统 管理 的 基础 之 上 的 , 它 与 CMIP 协议 是 
密切 相关 的 ,这 种 模型 显然 不 适合 计算 机 技术 发 展 ,如 CMIP 协议 是 面向 事物 的 ,基于 数据 
流 的 ,而 分 布 式 面向 对 象 技术 已 成 为 当前 计算 机 通信 发 展 的 趋势 。 GDMO/ASN. 1/CMIP 
的 信息 模型 不 适用 分 布 式 面向 对 象 技 术 。 因 此 ,需要 建立 与 协议 无 关 的 管理 信息 模型 。 

(5) TMN 的 信息 体系 结构 缺乏 对 分 布 式 管理 的 完全 支持 ,虽然 TMN 提供 管理 者 - 代 
理 模型 ,可 以 认为 定义 了 一 个 分 布 式 环境 ,但 是 ,现存 的 信息 体系 结构 在 几 个 方面 都 对 分 布 
式 透 明 有 限制 ,例如 ,位 置 透明 的 通信 方式 是 不 可 能 的 ,充当 管理 者 角色 的 应 用 进程 必须 知 
道 代 理 进程 的 位 置 ,为 了 完成 一 项 任务 ,必须 建立 独立 的 通信 实例 。 

(6) 在 开发 TMN 应 用 程序 时 ,缺乏 可 移植 的 , 易 用 的 、 在 CMIP 之 上 的 API。 虽 然 在 
一 些 无 关 平台 上 提供 一 些 API, 但 这 些 API 要 么 复杂 (XOM/XMP) ,要 么 是 各 平台 特有 的 ， 
不 具备 通用 性 ,不 具备 可 移植 性 。 


1.7 本 章 小 结 


本 章 主要 介绍 了 网 络 管理 的 基本 概念 要素、 目标 、 管 理 模型 和 体系 结构 等 内 容 。 

网 络 管理 是 指 监督 .控制 网 络 资源 的 使 用 和 网 络 的 各 种 活动 ,使 网 络 性 能 达到 最 佳 的 过 
程 。 即 对 网 络 的 配置 .运行 状态 和 计 费 等 所 从 事 的 全 部 操作 和 维护 性 活动 。 网 络 管理 的 目 
的 在 于 提供 对 网 络 进行 规划 、` 设 计 ` 和 运行、 分析、 控制. 评估 和 扩展 的 手段 ,从 而 合理 地 组 织 和 
利用 网 络 资源 ,提供 安全 可靠、 高 效 和 优质 的 服务 。 

网 络 管理 系统 的 功能 包括 配置 管理 ,性 能 管理 .故障 管理 、 计 费 管理 和 安全 管理 ; 网 络 
管理 模型 主要 是 管理 者 -代理 模型 ; 网 络 管理 体系 结构 有 多 种 ,目前 应 用 最 多 的 是 SNMP， 


符合 现代 网 络 管理 的 其 他 新 体系 结构 也 正在 研究 和 试验 之 中 。 
本 章 的 重点 是 网 络 管理 的 基本 概念 ,内 容 、 目 标 和 网 络 管理 系统 的 五 大 功能 。 


习 题 1 
一 、 选 择 题 
1. 管理 者 和 代理 间 的 信息 交换 是 通过 ( ) 进 行 的 。 
A. PDU B. Polling C. Heartbeat D. AC 
2. 网 络 管理 的 要 素 包 括 ( js 
A. 被 管 对 象 B. 管理 方法 C. 管理 系统 D. 管理 模块 
3. 下 列 选项 中 不 是 网 络 管理 内 容 的 是 ( 
A. 运行 B. 控制 C. 计 费 D. 维护 
4. 一 个 网 络 管理 系统 从 逻辑 上 由 管理 者 、 管 理 代理 ,管理 协议 和 ( ) 组 成 。 
A. 数据 库 B. 管理 信息 库 ” C. 数据 仓库 D. 信息 系统 


5. 管理 代理 是 应 用 进程 中 负责 完成 管理 者 的 指示 ,并 反馈 其 所 在 设备 的 信息 ,如 果 是 
非 标 准 设 备 应 该 使 用 ( 


A. 设备 代理 。”B. 标准 代理 C. 代理 插件 D. 转换 代理 
6. SNMP 的 四 种 操作 中 ,( ) 是 由 代理 发 给 管理 者 的 , 且 不 需要 管理 者 响应 。 
A. trap B. get C. get-next D. set 
二 、 简 答题 


1. 什么 是 网 络 管理 ? 

2. 网 络 管理 的 目标 是 什么 ? 

3. 网 络 管理 系统 的 功能 分 别 是 什么 ? 
4. 网 络 管理 体系 结构 有 哪些 ? 
5 
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. 轮 询 和 心跳 机 制 有 什么 区 别 ? 
. 请 说 明 网 络 管理 模型 的 原理 。 
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第 2 章 管理 信息 库 


管理 信息 库 (Management Information Base,MIB) 是 一 个 概念 上 的 数据 库 , 定 义 了 一 个 
网 络 中 所 有 可 能 的 被 管理 对 象 的 集合 的 数据 结构 ,指明 了 网 络 元 素 所 维持 的 变量 ( 即 能 够 被 
管理 进程 查询 和 设置 的 信息 )。 本 章 将 介绍 MIB 的 相关 知识 。 


2.1 管理 信息 库 概 述 


MIB 是 网 络 管理 数据 的 标准 ,在 这 个 标准 里 规定 了 网 络 代 理 设 备 必须 保存 的 数据 项 
目 、 数 据 类 型 ,以 及 允许 在 每 个 数据 项 目 中 的 操作 。 通 过 对 这 些 数据 项 目的 存 取 访问 ,就 可 
以 得 到 被 管 对 象 的 所 有 统计 内 容 。 再 通过 对 多 个 统计 内 容 的 综合 分 析 即 可 实现 基本 的 网 络 
管理 。 

MIB 由 IETF 定义 ,规范 了 可 访问 的 网 络 设备 及 其 属性 ,每 个 网 络 设备 由 对 象 识别 符 
(Object Identifier, OID) 唯 一 指定 。MIB 是 SNMP 的 基础 ,每 个 被 管 资源 由 对 象 来 表示 ， 
MIB 是 这 些 对 象 的 有 结构 的 集合 。MIB 本 质 上 是 一 个 树 型 的 数据 结构 ,网络 中 每 个 被 管 对 
象 (工作 站 、 服 务 器 .路 由 器 、 网 桥 等 ) 都 拥有 一 个 反映 其 状态 的 MIB, 网 络 管理 实体 可 以 通 
过 提取 MIB 中 的 对 象 值 监测 系统 中 的 资源 ,也 可 以 通过 修改 这 些 对 象 值 来 控制 资源 。 

MIB 的 定义 与 具体 的 网 络 管理 协议 无 关 , 这 对 于 厂商 和 用 户 都 有 利 。 厂商 可 以 在 产品 
中 包含 SNMP 代理 软件 ,并 保证 在 定义 新 的 MIB 项 目 后 该 软件 仍 遵 守 标 准 。 用 户 可 以 使 
用 同一 网 络 管理 客户 软件 来 管理 具有 不 同 版 本 的 MIB 的 多 个 网 络 设备 。 当 然 , 一 个 没有 新 
的 MIB 项 目的 网 络 设备 不 能 提供 这 些 项 目的 信息 。 


2.2 管理 信息 结构 


2.2.1 管理 信息 结构 (SMID) 的 定义 


1. 管理 信息 结构 的 概念 

管理 信息 结构 (Structure of Management Information, SMI) 是 简单 网 络 管理 协议 
(SNMP) 的 一 部 分 ,其 指定 了 在 SNMP MIB 中 用 于 定义 管理 目标 的 规则 。SMI 被 划分 为 三 
个 部 分 : 模块 定义 、 对 象 定义 和 陷阱 定义 。 

MIB 的 总 体 框架 、 数 据 类 型 的 表示 方法 和 命名 方法 是 由 SMI 定义 和 说 明 的 ,是 MIB 中 
对 象 定义 和 编码 的 基础 。SMI 为 定义 和 构造 MIB 提供 了 一 个 通用 的 框架 ,同时 也 规定 了 可 


以 在 MIB 中 使 用 的 数据 类 型 ,说 明了 资源 在 MIB 中 怎样 表示 和 命名 。SMI 的 基本 指导 思 
想 是 追求 MIB 的 简单 性 和 可 扩充 性 ,因此 ,MIB 只 能 存储 简单 的 数据 类 型 : 标量 和 标量 的 
二 维 矩 阵 。 

SMI 避 开 复杂 的 数据 类 型 是 为 了 降低 实现 的 难度 和 提高 互 操作 性 。 但 在 MIB 中 不 可 
避免 地 包含 厂家 建立 的 数据 类 型 ,如 果 对 这 样 的 数据 类 型 的 定义 没有 严格 的 限制 , 互 操作 性 
也 会 受到 影响 。 为 了 提供 一 个 标准 的 方法 来 表示 管理 信息 ,SMI 必须 : 

。 提供 一 个 标准 的 技术 定义 MIB 的 具体 结构 。 

。 提供 一 个 标准 的 技术 定义 各 个 对 象 ,包括 句法 和 对 象 值 。 

。 提供 一 个 标准 的 技术 对 对 象 值 进行 编码 。 

2. SMI 的 定义 

MIB 中 存在 的 数据 叫做 对 象 ,每 个 对 象 都 有 一 个 类 型 和 一 个 值 。 类 型 是 对 被 管 对 象 种 
类 的 定义 ,因此 类 型 的 定义 是 一 个 句法 描述 。 对 象 的 实例 是 某 类 对 象 的 一 个 具体 实现 ,具有 
一 个 确定 的 值 。 

MIB 中 的 对 象 用 抽象 语法 表示 (Abstract Syntax Notation Number One, ASN. 1) 来 描 
述 。ASN. 1 是 一 种 形式 语言 , 它 提 供 了 统一 的 网 络 数据 表示 ,用 于 定义 应 用 数据 的 抽象 语 
法 和 应 用 层 协 议 数据 单元 结构 。 用 ASN. 1 定义 的 抽象 数据 在 传送 过 程 中 按照 基本 编码 规 
则 (Basic Encoding Rule,BER) 变 换 成 比特 串 , 这 就 构成 了 在 网 络 上 传送 的 数据 包 。 

ASN. 1 中 包含 了 一 些 预 定义 的 通用 类 型 ,也 规定 了 通过 现 有 类 型 定义 新 类 型 的 语法 。 
定义 被 管 对 象 的 一 个 可 选 方法 是 定义 一 个 被 称 为 Object 的 新 类 型 ,这 样 ,MIB 中 所 有 的 对 
象 都 将 是 这 种 类 型 。 这 个 方法 在 技术 上 是 可 行 的 ,但 会 产生 定义 不 便于 应 用 的 问题 ,因为 在 
实践 中 可 能 需要 定义 多 种 数据 类 型 。 另 外 ,MIB 支持 二 维 表格 或 矩阵 的 定义 ,因此 ,一 个 通 
用 的 对 象 类 型 必须 包含 参数 来 对 应 所 有 这 些 可 能 性 和 选择 性 。 

另 一 个 更 有 吸引 力 的 方法 ,并 且 也 是 被 SNMP 所 实际 采用 的 方法 是 利用 宏 (macro) 对 
在 被 管 对 象 定义 中 相互 关联 的 类 型 进行 集合 定义 。 一 个 宏 的 定义 给 出 相关 类 型 集合 的 句 
法 ,而 宏 的 实例 定义 一 个 特定 的 类 型 ,因此 定义 被 分 为 以 下 等 级 。 

。 宏 :定义 合法 的 宏 实 例 , 即 说 明 相关 集合 类 型 的 句法 。 

。 宏 实例 : 通过 为 宏 定 义 提供 实际 参数 生成 实例 , 即 说 明 一 个 特定 的 类 型 。 

。 宏 实 例 值 : 用 一 个 特定 的 值 来 表示 一 个 特定 的 实体 。 

图 2-1 是 OBJECT-TYPE 宏 的 定义 (RFC 1212)。 

下 面 介 绍 OBJECT-TYPE 宏 中 的 主要 项 目 。 

。 SYNTAX: 对 象 类 的 抽象 句法 ,该 句法 必须 从 SMI 的 对 象 句法 类 型 中 确定 一 种 

类 型 。 

。 ACCESS: 定义 通过 SNMP 或 其 他 协议 访问 对 象 实例 的 方法 。Access 子 句 定义 该 
对 象 类 型 支持 的 最 低 等 级 ,可 选 的 等 级 有 : read-only、read-write、write-only 和 not- 
accessible。 

。 STATUS: 指出 该 对 象 在 实现 上 的 要 求 。 要 求 可 以 是 : mandatory( 必 须 ) .optional 
(可 选 ) deprecated( 奶 求 一 一 必须 实现 的 对 象 ,但 很 可 能 在 新 版 MIB 中 被 删除 ) 和 
obsolete( 废 除 一 一 不 再 需要 被 管 系统 实现 的 对 象 )。 

。 DescrPart: 对 象 类 型 语义 的 文本 描述 ,该 子 句 是 可 选 的 。 
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OBJECT-TYPE MACRO : := 
BEGIN 
TYPE NOTATION ::="SYNTAX”" type (ObjectSyntax 
"ACCESS”Access 
"STATUS”Status 


DescrPart 

ReferPart 

IndexPart 

DefValPart 
VALUE NOTATION ::= value (VALUE ObjectName) 
Access ::= "read-only"| "read-write"| "write-only"| "not-accessible" 
Status ::= "mandatory"| "optional"| "obsolete"| "deprecated" 
DescrPart : ESCRIPTION" value (description DisplayString) | empty 


ReferPart : 
IndexPart : 


EFERENCE” value (reference DisplayString) | empty 
"INDEX" "{" IndexTypes "}"| empty 


IndexTypes ::=IndexType | IndexTypes "," IndexType 

IndexType ::=value (indexobject ObjectName)| type (indextype) 

DefValPart ::="DEFVAL"” "{" value (defvalue ObjectSyntax) "}"| empty 
END 


图 2-1 被 管 对 象 宏 


。 ReferPart: 对 定义 在 其 他 MIB 模块 中 的 某 个 对 象 的 文本 型 交叉 引用 。 该 子 句 是 可 
选 的 。 

。 IndexPart : 用 于 定义 表 。 该 子 句 只 是 在 对 象 类 型 对 应 表 中 的 “ 行 " 时 才 出 现 。 

。 DefValPart: 定义 一 个 默认 值 ,用 于 建立 对 象 实例 ,该 子 句 是 可 选 的 。 

。 VALUE NOTATION: 指出 通过 SNMP 访问 该 对 象 时 使 用 的 名 字 。 

由 于 应 用 OBJECT-TYPE 宏 的 MIB 的 完整 的 定义 包含 在 MIB 的 元 长 的 文档 中 , 因 
此 ,人 们 并 不 常 使 用 它们 。 比 较 常用 的 是 更 简捷 的 方法 一 一 基于 树 型 结构 和 对 象 特性 的 表 
格 表示 的 方法 。 
2.2.2 MIB 的 结构 


1. MIB 树 型 结构 

SNMP 中 的 所 有 的 被 管 对 象 都 被 排列 在 一 个 树 型 结构 之 中 ,如 图 2-2 所 示 。 处 于 叶子 位 
置 上 的 对 象 是 实际 的 被 管 对 象 ,每 个 实际 的 被 管 对象 表 示 某 些 被 管 资 源 、 活 动 或 相关 信息 。 树 
型 结构 本 身 定 义 一 个 将 对 象 组 织 到 逻辑 上 相关 的 集合 之 中 的 方法 ,这 种 结构 的 意义 如 下 。 

(1) 表示 管理 和 控制 的 关系 

上 层 的 中 间 节 点 是 某 些 组 织 机 构 的 名 字 ,表示 这 些 机 构 分 别 负责 对 其 下 面子 树 的 管理 
工作 。 有 些 中 间 节 点 虽然 不 是 组 织 机 构 名 ,但 已 经 委托 某 个 组 织 机 构 代 管 。 

(2) 提供 了 结构 化 的 信息 组 织 技术 

图 中 下 层 的 节点 代表 的 子 树 是 与 每 个 网 络 资源 或 网 络 协议 相关 的 信息 集合 , 沿 着 树 层 
次 访问 相关 信息 非常 灵活 和 方便 。 

(3) 提供 了 对 象 命名 机 制 

树 中 的 每 个 节点 都 有 一 个 分 层 的 编号 ,叶子 节点 代表 实际 的 管理 对 象 ,从 树 根 到 树叶 的 
编号 串联 起 来 ,用 圆 点 隔 开 ,就 形成 了 管理 对 象 的 标识 。 


Toot 


ccitt(0) iso(1) joint-iso-ccitt(2) 


人 org(3) 


authority(1) body(2) | 
dod(6) 


internet(1) 


directory(1) mgmt(2) experimental(3) private(4) security(5) snmpv2(6) 


mib-2(1) enterprises(1) 


system(1) interface(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) …… 


图 2-2 对 象 标识 符 树 型 结构 


使 用 这 个 树 状 分 层 结 构 ,MIB 浏览 器 能 够 以 一 种 方便 而 且 简 捷 的 方式 访问 整个 MIB 数 
据 库 。MIB 浏览 器 是 这 样 一 种 工具 , 它 可 以 遍历 整 棵 MIB 结构 树 ,通常 以 图 形 显示 的 形式 
来 表示 各 个 分 枝 和 树叶 对 象 。 可 以 通过 其 数字 标识 符 来 查找 MIB 中 的 数据 对 象 , 这 个 数字 
标识 符号 从 MIB 结构 树 的 根部 开始 ,直到 各 个 叶子 节点 为 止 。 这 种 访问 方式 和 文件 系统 的 
组 织 方式 一 致 。 

2. 对 象 标识 

MIB 中 的 每 个 对 象 类 型 都 被 赋予 一 个 对 象 标识 符 , 以 此 来 命名 对 象 。 另 外 ,由 于 对 象 
标识 符 的 值 是 层次 结构 的 ,因此 命名 方法 本 身 也 能 用 于 确认 对 象 类 型 的 结构 。 

对 象 标识 符 是 能 够 唯一 标识 某 个 对 象 类 的 符号 , 它 的 值 由 一 个 整数 序列 构成 ,被 定义 的 
对 象 的 集合 具有 树 型 结构 , 树 根 是 引用 ASN. 1 标准 的 对 象 。 从 对 象 标识 符 树 的 树 根 开始 ， 
每 个 对 象 标识 符 成 分 的 值 指 定 树 中 的 一 个 弧 , 从 树 根 开始 ,第 一 级 有 3 个 节点 : iso、ccitt、 
joint-iso-ccitt。 在 iso 节点 下 面 有 一 个 为 “其 他 组 织 ” 使 用 的 子 树 org, 其 中 有 一 个 美国 国防 
部 的 子 树 (dod), SNMP 在 dod 之 下 设置 一 个 子 树 用 于 Internet 的 管理 , 如 下 所 示 为 


internet OID: 
internet OBJECT IDENTIFIER :: = ( iso (1) org (3) dod (6) 1) 


因此 ,internet 节点 的 对 象 标识 符 的 值 是 1. 3. 6. 1, 这 个 值 作为 internet 子 树 的 下 级 节 
点 标识 符 的 前 级。SMI 在 SNMP vl 中 的 internet 节点 之 下 定义 了 如 下 文 所 述 的 4 个 节点 ， 

。 directory(1) 为 与 OSI 的 directory 相关 的 为 将 来 的 应 用 保留 的 节点 。 

。 mgmt(2) 用 于 在 IAB 批准 的 文档 中 定义 的 对 象 。 

。 experimental(3) 用 于 标识 在 Internet 实验 中 应 用 的 对 象 。 

。 private(4) 用 于 标识 单方 面 定义 的 对 象 。 

在 SNMP v2 中 增加 了 Security(5) 和 Snmpv2(6) 两 个 节点 。 

mgmt 子 树 包含 IAB 已 经 批准 的 管理 信息 库 的 定义 ,现在 已 经 开发 了 两 个 版 本 的 的 
MIB,mib-1 和 它 的 扩充 版 mib-2。 二 者 子 树 中 的 对 象 标识 符 是 相同 的 ,因为 在 任何 配置 中 ， | 章 


党 理 信 息 库 
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只 有 一 个 MIB。 最 初 的 节点 MIB 将 其 所 管理 的 信息 分 为 8 个 类 别 ,现在 的 mib-2 所 包含 的 
信息 类 别 已 超过 40 个 。 

private 子 树 目前 只 定义 了 一 个 子 节点 enterprises{1. 3. 6. 1. 4. 1) ,用 于 厂商 加 强 对 自 
己 设备 的 管理 ,与 用 户 及 其 他 厂商 共享 信息 。 在 enterprises 子 树 下 面 ,每 个 注册 了 
enterprises 对 象 标识 符 的 厂商 有 一 个 分 支 ,其 所 属 节 点 数 已 超过 3000。 例 如 IBM 为 
{1. 3. 6. 1. 4.1.2},Cisco 为 {1. 3.6.1.4.1.9},Novell 为 {1. 3. 6. 1. 4. 1. 23} 等 。 世 界 上 任何 
一 个 公司 、 学 校 ,只 要 用 电子 邮件 发 往 iana-mib@isi. edu 进行 申请 , 即 可 获得 一 个 节点 名 。 
这 样 各 厂家 就 可 以 定义 自己 的 产品 的 被 管理 对 象 名 ,使 它 能 用 SNMP 进行 管理 。 

internet 节点 之 下 分 为 4 个 子 树 的 做 法 为 MIB 的 进化 提供 了 很 好 的 基础 ,通过 对 新 对 
象 的 实验 ,厂商 能 够 在 其 被 接受 为 mgmt 的 标准 之 前 有 效 地 获得 大 量 的 实际 知识 。 因 此 这 
样 的 MIB 既是 对 管理 符合 标准 的 对 象 直接 有 效 的 ,对 适应 技术 和 产品 的 变化 也 是 灵活 的 ， 
这 一 点 也 反映 了 TCP/IP 协议 在 成 为 标准 之 前 进行 大 量 的 实验 性 的 使 用 和 调 测 的 特性 。 


2.2.3 MIB 中 的 数据 类 型 


SNMP MIB 中 的 每 个 对 象 都 有 一 个 形式 化 的 方法 定义 ,说 明 对 象 的 数据 类 型 . 取 值 范 
围 以 及 与 MIB 中 的 其 他 对 象 的 关系 。 各 个 对 象 以 及 MIB 的 整体 结构 都 由 ASN. 1 描述 法 
定义 ,为 了 保持 简单 ,只 利用 了 ASN. 1 的 元 素 和 特征 的 一 个 有 限 的 子 集 。 
1.UNIVERSAL 类 型 
ASN.1 的 UNIVERSAL 类 由 独立 于 应 用 的 通用 数据 类 型 组 成 ,其 中 只 有 以 下 数据 类 
型 被 允许 用 于 定义 MIB 对 象 : 
。， integer (UNIVERSAL 2) 
。 octetstring (UNIVERSAL 4) 
。 null (UNIVERSAL 5) 
。 object identifier (UNIVERSAL 6) 
。 sequence,sequence of (UNIVERSAL 16) 
前 3 个 是 构成 其 他 对 象 类 型 的 基本 类 型 。object identifier 是 唯一 标识 对 象 的 符号 ,由 
一 个 integer 序列 组 成 ,序列 中 的 integer 被 称 为 子 标识 符 。 对 象 标识 符 的 integer 序列 从 左 
到 右 ,定义 了 对 象 在 MIB 树 型 结构 中 的 位 置 。sequence 和 sequence of 用 于 构成 表 。 
2. APPLICATION-WIDE 类 型 
ASN.1 的 APPLICATION 类 由 与 特定 的 应 用 相关 的 数据 类 型 组 成 。 每 个 应 用 ,包括 
SNMP ,负责 定义 自己 的 APPLICATION 数据 类 型 ,在 SNMP 中 已 经 定义 了 以 下 数据 
类 型 , 
。 networkaddress: 该 类 型 用 CHOICE 结构 定义 ,允许 从 多 个 协议 簇 的 地 址 格式 中 进 
行 选择 ,目前 只 定义 了 IPAddress 一 种 地 址 格式 。 

。 ipaddress: IP 格式 的 32 位 地 址 。 

。 counter: 只 能 做 增值 不 能 做 减 值 运算 的 非 负 整数 ,最 大 值 被 设 为 2” 一 1, 当 达到 最 
大 值 时 ,再 次 从 0 开始 增加 。 

。 gauge: 既 可 做 增值 也 可 做 减 值 运 算 的 非 负 整数 ,最 大 值 被 设 为 2” 一 1, 当 达到 最 大 
值 时 被 锁定 ,直至 被 复位 (reset) 。 


。 timeticks: 从 某 一 参照 时 间 开始 以 百 分 之 一 秒 为 单位 计算 经 历 的 时 间 的 非 负 整数 。 
当 MIB 中 定义 的 某 个 对 象 类 用 到 这 个 数据 类 型 时 ,参照 时 间 在 该 对 象 类 的 定义 中 
指出 。 

。 opaque: 该 数据 类 型 提供 一 个 传递 任意 数据 的 能 力 。 数 据 在 传递 时 被 作为 Octet 
string 编码 。 被 传递 的 数据 本 身 可 以 是 由 ASN. 1 或 其 他 句法 定义 的 任意 的 格式 。 


2.2.4 标量 对 象 和 表 对 象 


SNMP 的 变量 可 分 为 两 种 ,一 种 是 标量 , 另 一 种 是 用 二 维 数组 组 织 的 表 变 量 。 

SMI 只 支持 一 种 数据 结构 化 方法 , 即 标量 值 条 目的 二 维 表 。 表 是 对 象 的 有 序 集合 ， 
含 若 干 行 。 有 些 数据 的 组 织 用 表格 来 表达 比较 方便 ,多 个 对 象 的 组 合 能 够 完整 地 描述 一 条 
信息 。 表 的 定义 用 到 ASN. 1 的 sequence 和 sequence of 两 个 类 型 和 OBJECT-TYPE 宏 中 
的 IndexPart 。 

表 定 义 方 法 可 以 通过 实例 进行 说 明 。 考 虑 对 象 类 型 tcpConnTable, 这 个 对 象 包含 由 相 
应 的 被 管 实体 维护 的 TCP connections 的 信息 。 对 于 每 个 这 样 的 connection ,以 下 信息 在 表 
中 存储 : 

。 state: TCP connection 的 状态 。 

。 local address: 该 connection 的 本 端的 IP 地 址 。 

。 local port: 该 connection 的 本 端的 TCP 端口 。 

。 remote address: 该 connection 的 另 一 端的 IP 地址。 

。 remote port: 该 connection 的 另 一 端的 TCP 端口 。 

需要 注意 的 是 , tcpConnTable 是 存放 在 某 个 被 管 系统 维护 的 MIB 之 中 的 ,因此 ， 
tcpConnTable 中 的 一 个 条 目 对 应 被 管 系统 中 的 一 个 connection 的 状态 信息 。TCP connection 
的 状态 信息 有 22 个 项 目 , 按 照 tcpConnTable 的 定义 ,只 有 上 述 5 个 项 目 对 网 络 管理 者 来 说 是 
可 见 的 。 这 也 体现 了 SNMP 强调 保持 网 络 管理 简单 性 的 特点 , 即 在 被 管 对 象 中 ,只 包含 相对 
应 的 被 管 实体 的 有 限 的 和 有 用 的 信息 。 图 2-3 给 出 了 tcpConnTable 的 定义 (RFC1213)。 

在 图 2-3 中 ,可 以 看 到 sequence 和 sequence of 在 定义 表 时 的 应 用 。 整 个 表 由 一 个 
SEQUENCE OF TcpConnEntry 构成 ,ASN. 1 的 结构 SEQUENCE OF 由 一 个 或 多 个 相同 
的 元 素 构成 ,在 本 例 中 (在 所 有 的 SNMP SMI 的 情况 下 ) 每 个 元 素 是 表 中 的 一 行 。 

每 一 行 由 一 个 指定 了 5 个 标量 元 素 的 SEQUENCE 构成 ,ASN. 1 的 结构 SEQUENCE 
由 固定 数目 的 元 素 组 成 ,元 素 的 类 型 可 以 是 多 种 。 尽 管 ASN. 1 允许 这 些 元 素 是 可 选 的 ,但 
SMI 限制 这 个 结构 只 能 使 用 “mandatory” 元 素 。 在 本 例 中 ,每 一 行 所 包含 的 元 素 的 类 型 是 
INTEGER IPAddress INTEGER、IpAddress 和 INTEGER 。 

tcpConnEntry 定义 中 的 INDEX 成 分 确定 哪个 对 象 值 将 被 用 于 区 分 表 中 的 各 行 。 在 
TCP 中 ,一 个 socket (IP 地 址 .TCP 端口 ) 可 以 支持 多 个 connection , 而 任意 一 对 sockets 之 
间 同 时 只 能 有 一 个 connection。 因 此 为 了 明确 地 区 分 各 行 , 每 行 中 的 后 4 个 元 素 是 必要 的 ， 
也 是 充分 的 。 

SNMP 表 的 常用 操作 是 取 值 ( 取 整 个 表 的 对 象 实例 的 值 . 取 行 的 值 . 取 列 的 值 )、 修 改 
值 .添加 行 、. 删 除 行 和 遍历 整个 表 。 其 实 这 些 操 作 都 是 基于 get、 set、getNext、 getBulk、 
response 这 几 个 基本 操作 实现 的 。 


地 四 
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tcpConnTable OBJECT-TYPE 
SYNTAX SEQUENCE OF TcpConnEntry 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION 
"A table containing TCP connection-specific information." 
::= {tcp 13} 
tcpConnEntry OBJECT-TYPE 
SYNTAX TcpConnEntry 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION 
"Information about a particular current TCP connection. An object of this 
type is transient, in that it ceases to exist when (or soon after) the 
connection makes the transition to the CLOSED state." 
INDEX { tcpConnLocalAddress, 
tcpConnLocalPort, 
tcpConnRemAddress, 
tcpConnRemPort } 
::= { tcpConnTable 1 } 
tcpConnEntry ::=SEQUENCE {tcpConnState INTEGER, 
tcpConnLocalAddress IpAddress, 
tcpConnLocalPort INTEGER (0..65535), 
tcpConnRemAddress IpAddress, 
tcpConnRemPort INTEGER (0..65535)} 
tcpConnState OBJECT-TYPE 
SYNTAX INTEGER {closed(1), listen(2), synSent (3), synReceived(4), 
established(5), finWait] (6), finWait2(7), closeWait (8), lastAck (9), closing(10)， 
timeWait (11), deleteTCB (12)} 
ACCESS read-write 
STATUS mandatory 
DESCRIPTION 
"The state of this TCP connection.***" 
::= { tcpConnEntry 1 } 


图 2-3 TCPConn Table 的 定义 


2.2.5 对 象 实例 的 标识 


MIB 中 的 每 个 对 象 都 有 一 个 由 其 在 树 型 结构 的 MIB 中 所 处 的 位 置 所 定义 的 唯一 的 对 
象 标识 符 。 但 是 ,应 该 注意 到 ,MIB 树 型 结构 给 出 的 对 象 标识 符 在 一 些 情况 下 只 是 对 象 类 型 
的 标识 符 , 不 能 唯一 地 标识 对 象 的 实例 。 例 如 表格 的 对 象 标识 符 不 能 标识 表格 中 各 个 条 目 。 
由 于 对 MIB 的 访问 是 对 对 象 实例 的 访问 ,因此 各 个 对 象 实例 都 必须 有 唯一 标识 的 方法 。 

1. 表 与 列 对 象 

表 中 的 对 象 被 称 为 列 对 象 。 列 对 象 标识 符 不 能 独自 标识 对 象 实例 ,因为 表 中 的 每 一 行 
都 有 列 对 象 的 一 个 实例 。 为 了 实现 这 类 对 象 实例 的 唯一 标识 ,SNMP 实际 定义 了 词典 顺序 
访问 和 随机 访问 两 种 技术 。 词 典 顺序 访问 技术 是 利用 词典 编排 顺序 实现 的 ; 而 随机 访问 技 
术 是 利用 索引 对 象 值 实现 的 。 

(1) 随机 访问 技术 

一 个 表格 是 由 零 到 多 个 行 (条 目 ) 构 成 的 ,每 一 行 都 包含 一 组 相同 的 标量 对 象 类 型 (或 称 
列 对 象 ) 。 每 个 列 对 象 都 有 一 个 唯一 的 标识 符 。 但 由 于 列 对 象 可 能 有 多 个 实例 ,因此 列 对 象 


标识 符 并 不 能 唯一 标识 它 的 各 个 实例 。 然 而 ,在 定义 表格 时 ,一般 包含 一 个 特殊 的 列 对 象 
INDEX, 即 索引 对 象 , 它 的 每 个 实例 都 具有 不 同 的 值 ,可 以 用 来 标识 表 中 的 各 行 。 因 此 ， 
SNMP 采用 将 索引 对 象 值 连接 在 列 对 象 标识 符 之 后 的 方法 来 标识 列 对 象 的 实例 。 

例如 interfaces 组 中 的 ifTable, 如 图 2-5(c) 所 示 。 表 中 有 一 个 索引 对 象 ifIndex, 它 的 值 
是 一 个 1 到 ifNumber 之 间 的 整数 ,对 应 每 个 接口 ,ifIndex 有 一 个 唯一 的 值 。 现 在 假设 要 获 
取 系统 中 第 2 个 接口 的 接口 类 型 fType,ifType 的 对 象 标识 符 是 1. 3. 6. 1. 2. 1. 2. 2. 1. 3 , 而 
第 2 个 接口 的 ifIndex 值 是 2, 因 此 对 应 第 2 个 接口 的 ifType 的 实例 的 标识 符 便 为 1. 3. 6. 1. 
2.1.2.2.1.3.2。 即 将 这 个 ifIndex 的 值 作为 实例 标识 符 的 最 后 一 个 子 标识 符 加 到 ifType 
对 象 标识 符 之 后 。 

(2) 词典 顺序 访问 技术 

对 象 标 识 符 是 反映 该 对 象 在 MIB 中 的 树 型 结构 的 一 个 整数 序列 。 在 MIB 的 树 型 结构 
中 ,跟踪 从 root 开始 到 某 个 特定 对 象 的 路 径 , 便 可 以 得 到 该 对 象 的 对 象 标识 符 。 即 ,可 以 通 
过 遍历 MIB 中 的 对 象 标识 符 树 来 生成 对 象 实例 的 词典 顺序 。 

因为 管理 者 对 代理 提供 MIB 视图 的 构成 不 一 定 完 全 清楚 ,因此 它 需 要 一 种 不 必 提 供 对 
象 名 称 就 能 访问 对 象 的 方法 。 在 这 种 情况 下 ,对 象 及 其 实例 的 排序 就 是 非常 重要 的 ,利用 这 
个 排序 ,管理 者 可 以 有 效 地 遍历 一 个 MIB 的 结构 。 因 为 管理 者 只 要 提供 树 型 结构 的 任意 一 
点 上 的 一 个 对 象 实例 的 标识 符 , 就 可 以 顺序 地 对 其 后 继 的 对 象 实例 进行 访问 。 例 如 ,要 检索 
一 个 表 项 ,管理 者 可 以 连续 发 出 get 操作 , 按 词典 顺序 得 到 预定 的 对 象 实例 。 

表 2-1 为 一 个 简化 的 IP 路 由 表 , 这 个 路 由 表 的 对 象 及 其 实例 按 分 层 树 排列 如 图 2-4 所 
示 , 表 2-2 给 出 了 对 应 的 词典 顺序 。 


表 2-1 简化 的 路 由 表 


ipRouteDest ipRouteMetricl ipRouteNextHop 
3 3 99.0.0.3 
10. 0.0. 51 5 89. 1.1.42 
10. 0. 0. 99 5 89. 1.1.42 
ipRouteTable 
1.3.6.1.2.1.4.21 
ipRouteEntry 
1.3.6.1.2.1.4.21.1=x 
L 
ipRouteDest ipRouteMetricl ipRouteNextHop 
X-1 X.3 X.7 
ipRouteDest ipRouteMetricl | ipRouteNextHop | 
x1.9.1.2.3 X.1.9.1.2.3 L79123 
ipRouteDest ipRouteMetric1 ipRouteNextHop 
X.1.10.0.0.51 X.3.10.0.0.51 一 X.7.10.0.0.51 
ipRouteDest ipRouteMetric1 ipRouteNextHop 
x.1.10.0.0.99 X.3.10.0.0.99 x7.100099 一 


图 2-4 IP 路 由 表 对 象 及 其 实例 的 子 树 
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表 2-2 IP 路 由 表 对 象 及 其 实例 的 词典 顺序 
对 和 象 对 象 标识 符 下 一 个 对 象 实 例 


ipRouteTable 和 到 3 6 2.12421 直下 和 到 3 
ipRouteEntry 1 i 
ipRouteDest L111 1 
ipRouteDest. 9. 1. 2. 3 3 人 本 
ipRouteDest. 10. 0. 0. 51 了 
ipRouteDest. 10. 0. 0. 99 LEG bE 本 林寺 和 2 站 入 
ipRouteMetricl LS 3 i 
ipRouteMetric1. 9. 1. 2. 3 L612:42l1l39.1.23 1.3.6.1.2.1.4.21.1.3.10.0.0.51 
ipRouteMetric10. 0. 0. 51 1. 3. 6. 1. 2. 1. 4. 21. 1. 3. 10. 0. 0. 51 ”1. 3. 6. 1. 2. 1. 4. 21. 1. 3. 10. 0. 0. 99 
ipRouteMetric. 10. 0. 0. 99 1. 3. 6. 1. 2. 1. 4. 21. 1. 3. 10. 0. 0. 99 1.3.6.1.2.1.4.21.1.7.9.1.2.3 
ipRouteNextHop 1 3. 6.1. 2. 1.4.21.1.7 下 3 
ipRouteNextHop1. 9. 1.2.3 | 1. 3. 6. 1. 2. 1. 4. 21. 1. 7. 10. 0. 0. 51 
ipRouteNextHop10. 0. 0. 51 LEGLZLE2L ETI0G0SL LEGLEZSLEL2LT.100099 
ipRouteNextHop. 10. 0. 0.99 1.3.6.1.2.1.4.21.1.7.10.0.0.99 1.3.6.1.2.1.4.21.1.1.x 

2. 表 与 行 对 象 

对 于 表格 和 行 对 象 ,没有 定义 它们 的 实例 标识 符 。 这 是 因为 表格 和 行 不 是 叶子 对 象 , 因 
而 不 能 由 SNMP 访问 。 在 这 些 对 象 的 MIB 定义 中 ,它们 的 ACCESS 特性 被 设 为 not- 
accessible。 

3. 标量 对 象 


在 标量 对 象 的 场合 ,用 对 象 类 型 标识 符 便 能 唯一 标识 它 的 实例 ,因为 每 个 标量 对 象 类 型 

有 一 个 对 象 实例 。 但 是 ,为 了 与 表格 对 象 实例 标识 符 的 约定 保持 一 致 ,也 为 了 区 分 对 象 的 
ee SNMP 规定 标量 对 象 实例 的 标识 符 由 其 OID 后 加 *0” 来 标识 ,如 sysName 
变量 的 OID 是 “. iso. org. dod. internet. mgmt. mib-2. system. sys Name. 0”。 


2.3 MIB-2 功能 组 


在 TCP/IP 网 络 管理 的 建议 标准 中 ,提出 了 多 个 相互 独立 的 MIB, 其 中 包含 为 Internet 
的 网 络 管理 而 开发 的 MIB-2。MIB-2 是 在 MIB-1 的 基础 之 上 开发 的 ,是 MIB-2 的 一 个 超 
集 。MIB-2 组 被 分 为 11 个 功能 组 , 共 171 个 对 象 。 但 MIB-2 只 包括 那些 被 认为 是 必要 的 
对 象 ,不 包括 任 选 的 对 象 。 对 象 的 分 组 方便 了 管理 实体 的 实现 ,一 般 来 说 ,制造 商 如 果 认 为 
某 个 功能 组 是 有 用 的 , 则 必须 实现 该 组 的 所 有 对 象 。 


2.3.1 system 组 


system 组 提供 有 关 被 管 系统 的 总 体 信息 ,如 图 2-5(a) 所 示 。 表 2-3 列 出 了 该 组 中 各 个 
对 象 的 名 称 \ 语 法 、 访 问 权 限 和 功能 描述 。 


表 2-3 system 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 

sysDescr DisplayString RO 对 实体 的 描述 ,如 硬件 ,操作 系统 等 
(SIZE(0 … 255)) 

sysObjectID OBJECT IDENTIFIER RO 实体 中 包含 的 网 络 管理 子 系统 的 厂商 标识 

sysUpTime TimeTicks RO 系统 的 网 络 管理 部 分 本 次 启动 以 来 的 时 间 

sysContact DisplayString RW 该 被 管 节点 负责 人 的 标识 和 联系 信息 
(SIZE(0 … 255)) 

sysName DisplayString RW 该 被 管 节点 被 赋予 的 名 称 
(SIZE(0 … 255)) 

sysLocation DisplayString RW 该 节点 的 物理 地 点 
(SIZE(0 … 255)) 

sysServices INERGER RO 指出 该 节点 所 提供 的 服务 的 集合 ,7 个 bit 对 
(0 … 127) 应 7 层 服务 


2.3.2 interfaces 组 


interfaces 组 包含 实体 物理 接口 的 一 般 信息 ,包括 配置 信息 和 各 接口 中 所 发 生 的 事件 的 
统计 信息 ,如 图 2-5(c) 所 示 。 这 个 功能 组 是 必须 实现 的 。 


system(mib21) ere i 1) 


sysDescr(1) — ifTable(2) 
sysObjectID(2) LifEntry(1) 
sysUpTime(3) E pe 
sysContact(4) ifType(3) 
sysName(5) Mb 人 


ifSpeed(5) 
sysLocation(6) ifPhysAddress(6) 
sysServices(7) 


ifAdminStatus(7) 
ifOperStatus(8) 
ifLastChange(9) 
ifInOctets(10) 
ifnUcastPkts(11) 
ifinNUcastPkts(12) 
ifnDiscards(13) 
iflnErrors(14) 
ifInUnknownProtos(15) 
ifOutOctets(16) 
ifOutUcastPkts(17) 
ifOutNUcastPkts(18) 


(a) system 组 


at(mib23) 
L_atrable( 1) 
L_atEntry(D) 


atlfIndex(1) 
ifOutDiscards(19) 
ifOutError(20) 
ifoOutQlen(21) 
L ifSpecfic(22) 


(b) at 组 (c) inerfaces 组 


atPhysAddress(2) 
atNetAddress(3) 


J EE RR 


图 2-5 MIB-2 的 system ,at interfaces 组 


interfaces 接口 组 中 的 对 象 可 用 于 故障 管理 和 性 能 管理 ,例如 ,可 以 通过 检查 进出 接 
口 的 字 节 数 或 队列 长 度 来 检测 网 络 拥塞 ; 可 以 通过 接口 状态 获知 工作 情况 ; 还 可 以 统计 
出 输入 输出 的 错误 率 等 。 表 2-4 为 该 组 中 各 个 对 象 的 名 称 、 语 法 、 访 问 权限 和 功能 
描述 。 
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表 2-4 interfaces 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
ifNumber INTEGER RO 网 络 接口 的 数目 
ifTable SEQUENCE OF ifEntry NA 接口 条 目 清 单 
ifEntry SEQUENCE NA ”包含 子 网 及 其 以 下 层 对 象 的 接口 条 目 
ifIndex INTEGER RO ”对 应 各 个 接口 的 唯一 值 
让 Descr DisplayString RO ”有关 接 口 的 信息 ,包括 厂商 \ 产 品名 称 、 硬 件 接 
(SIZE(0 » 255)) 口 版 本 
让 Type INTEGER RO 接口 类 型 ,根据 物理 或 链 路 层 协议 区 分 
让 Mtu INERGER RO 接口 可 接收 或 发 送 的 最 大 协议 数据 单元 的 尺寸 
ifSpeed Gauge RO 接口 当前 数据 速率 的 估计 值 
ifPhysAddress PhysAddress RO 网 络 层 之 下 协议 层 的 接口 地 址 
让 AdminStatus INTEGER RW 期 望 的 接口 状态 (up(1) ,down(2) ,testing(3)) 
ifOperStatus INTEGER RO 当前 的 操作 接口 状态 (up(1) ,down(2) ,testing(3)) 
ifLastChange TimeTicks RO 接口 进入 当前 操作 状态 的 时 间 
ifInOctets Counter RO 接口 收 到 的 8 元 组 的 总 数 
ifInUcastPkts Counter RO ”递交 到 高 层 协议 的 子 网 单 播 的 分 组 数 
itInNUcastPkts Counter RO 递交 到 高 层 协议 的 非 单 播 的 分 组 数 
ifInDiscards Counter RO 被 丢弃 的 进 站 分 组 数 
ifInErrors Counter RO 有 错 的 进 站 分 组 数 
ifInUnkownProtos Counter RO ”由 于 协议 未 知 而 被 丢弃 的 分 组 数 
ifOutOctets Counter RO 接口 发 送 的 8 元 组 的 总 数 
ifOutUcastPkts Counter RO ”发 送 到 子 网 单 播 地 址 的 分 组 总 数 
ifOutNUcastPkts Counter RO ”发送 到 非 子 网 单 播 地 址 的 分 组 总 数 
ifOutDiscards Counter RO 被 丢弃 的 出 站 分 组 数 
ifOutErrors Counter RO 不 能 被 发 送 的 有 错 的 分 组 数 
ifOutQLen Gauge RO 输出 分 组 队列 长 度 
ifSpecific OBJECT IDENTIFIER RO 参考 MIB 对 实现 接口 的 媒体 的 定义 
2.3.3 at 组 


at(address translation) 组 由 一 个 表 构 成 ,如 图 2-5(b) 所 示 。 表 中 的 每 一 行 对 应 系统 中 
的 一 个 物理 接口 ,提供 网 络 地 址 向 物理 地 址 的 映射 。 一 般 情况 下 ,网 络 地 址 是 指 系统 在 该 接 
口上 的 IP 地 址 ,而 物理 地 址 决定 于 实际 采用 的 子 网 情况 。 例 如 ,如 果 接 口 对 应 的 是 LAN， 
则 物理 地 址 是 接口 的 MAC 地 址 ,如 果 对 应 X. 25 分 组 交换 网 , 则 物理 地 址 可 能 是 一 个 
X. 121 地 址 。 表 2-5 列 出 了 该 组 中 各 个 对 象 的 名 称 .语法 .访问 权 限 和 功能 描述 。 
表 2-5 address translation 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
atTable SEQUENCE OF AtEntry NA 包含 网 络 地 址 对 物理 地 址 的 映射 
atEntry SEQUENCE NA 包含 一 个 网 络 地 址 ,物理 地 址 对 
atlfIndex INTEGER RW 表格 条 目的 索引 
atPhysAddress PhysAddress RW 依赖 媒体 的 物理 地 址 


atNetAddress NetworkAddress RW 对 应 物理 地 址 的 网 络 地 址 


实际 上 ,address translation 组 包含 在 MIB-2 中 只 是 为 了 与 MIB-1 兼容 ,MIB-2 的 地 址 
转换 信息 在 各 个 网 络 协议 组 中 提供 。 


2.3.4 让 组 


ip 组 包含 有 关节 点 上 IP 实现 和 操作 的 信息 ,如 有 关 IP 层 流量 的 一 些 计 数 器 等 。ip 组 
的 对 象 如 图 2-6(a) 所 示 , 这 些 对 象 分 为 4 大 类 ,包括 有 关 性 能 和 故障 监控 的 标量 对 象 ,以 及 


3 个 表 对 象 : ipAddrTable、ipRouteTalbe 和 ipNetToMediaTable。 


ip(mib-2 4) 

上 ipForwarding(1) 

上 ipDefaultTTL(2) 

上 ipInReceives(3) 

上 ipInHdrErrors(4) 
ipInAddrErrors(5) 

上 ipForwDatagrams(6) 
上 ipInUnknownProtos(7) 
上 ipInDiscards(8) 

上 ipInDelivers(9) 

上 ipOutRequests(10) 

上 ipOutDiscards(11) 

上 ipOutNoRoutes(12) 


ipReasmTimeOut(13) 
ipReasmReqds(14) 

上 ipReasmOKs(15) 

上 ipRaesmFails(16) 

上 ipFragsOk(17) 

|- ipFragesFails(18) 

上 ipkragsCreates(19) 

上 ipAddrTable(20) 

上 ipRouteTable(21) 

上 ipNetToMediaTable(22) 

L ipRoutingDiscars(23) 


(a) 


icmp(2 5) 

上 icmpInMsgs(1) 

上 icmpInErrors(2) 

上 icmpInDestUnreachs(3) 

上 icmplnTimeExcds(4) 
icmpInParmProbs(5) 

上 icmpInSrcQuenchs(6) 

上 icmpInRedirects(7) 

上 icmpInEchos(8) 

上 icmpInEchoReps(9) 

上 icmpInTimestamps(10) 

上 icmplnTimestampReps(11) 
上 icmpInAddrMasks(12) 

上 icmplnAddrMaskReps(13) 
上 icmpOutMssgs(14) 

上 icmpOutErrors(15) 

上 icmpOutDestUnreachs(16) 
上 icmpOutTimeExcds(17) 

上 icmpOutParmProbs(18) 

上 icmpOutSrcQuenchs(19) 

上 icmpOutRedirects(20) 

上 icmpOutEchos(C21) 

上 icmpOutEchoReps(22) 

上 上 icempOutTimestamps(23) 


上 icmpOutAddrMasks(25) 


(b) 


图 2-6 MIB-2 的 ip ,icmp ,tcp 组 


上 icmpOutTimestampReps(24) 


-icmpOutAddrMaskReps(26) 


tcp(2-6) 

上 tcpRtoAlgorithm(1) 
上 tcpRtoMin(2) 

上 tcpRtoMax(3) 

上 tcpMaxConn(4) 

上 tcpActiveOpens(5) 
上 tcpPassiveOpens(6) 
上 tcpAttemptFails(7) 
上 tcpEstabResets(8) 
|- tcpCurrEstab(9) 

上 tcpInSegs(10) 

上 tcpOutSegs(11) 

上 tcpRetranSegs(12) 
上 tcpConnTable(13) 
上 tcpInErrors(14) 

上- tcpOutRsts(15) 


ipAddrTable 包含 分 配给 该 实体 的 IP 地 址 的 信息 ,每 个 地 址 被 唯一 地 分 配给 一 个 物理 


地 址 。 


ipRouteTable 包含 用 于 互联 网 路 由 选择 的 信息 ,该 路 由 表 中 的 信息 是 从 一 些 协议 的 路 


由 表 中 抽取 而 来 的 。 实 体 


所 知 的 每 条 路 由 都 有 一 个 条 目 , 表 格 由 ipRouteDest 索引 。 


ipRouteTable 中 的 信息 可 用 于 配置 的 监测 ,并 且 由 于 表 中 的 对 象 是 read-write 的 ,因此 也 可 


被 用 于 路 由 控制 。 


ipNetToMediaTable 是 一 个 提供 IP 地 址 和 物理 地 址 之 间 对 应 关系 的 地 址 转换 表 。 除 
了 增加 一 个 指示 映射 类 型 的 对 象 ipNetToMediaType 之 外 , 表 中 所 包含 的 信息 与 address 


translation 组 相同 。 


此 外 :ip 组 中 还 包含 一 些 用 于 性 能 和 故障 监测 的 标量 对 象 。 表 2-6 列 出 了 该 组 中 各 个 
对 象 的 名 称 .语法 .访问 权限 和 功能 描述 。 


地 四 
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表 2-6 ipb 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
ipForwarding INTEGER RW 是 否 作 为 IP 网 关 (1/0) 
ee a 插入 到 该 实体 生成 的 数据 报 的 IP 头 中 Time- 
ipDefaultTTL INTEGER RW Do -bise 字 破 中 的 点 讽 什 
ipInReceives Counter RO 接口 收 到 的 输入 数据 报 的 总 数 
ipInHdrErrors Counter RO 由 于 IP 头 错 被 丢弃 的 输入 数据 报 总 数 
ipInAddrErrors Counter RO 由 于 IP 地 址 错 被 丢弃 的 输入 数据 报 总 数 
ipForwDatagrams Counter RO 转发 的 输入 数据 报 数 
ipInUnknownProtos Counter RO 由 于 协议 未 知 被 丢弃 的 输入 数据 报 数 
ipInDiscards Counter RO 无 适当 理由 而 被 丢弃 的 输入 数据 报 数 
ipInDelivers Counter RO 成 功 地 递交 给 IP 用 户 协议 的 输入 数据 报 数 
ipOutRequests Counter RO 本 地 IP 用 户 协议 要 求 传输 的 IP 数据 报 总 数 
ipOutDiscards Counter RO 无 适当 理由 而 被 丢弃 的 输出 数据 报 数 
ipOutNoRoutes Counter RO 由 于 未 找到 路 由 而 被 丢弃 的 IP 数据 报 数 
ipReasmTimeOut INTEGER RO 重组 接收 到 的 碎片 可 等 待 的 最 大 秒 数 
ipReasmReqds Counter RO 接收 到 的 需要 重组 的 IP 碎片 数 
ipReasmOKs Counter RO 成 功 重组 的 IP 数据 报 数 
ipRaesmFails Counter RO 由 JIP 重 组 算法 检测 到 的 重组 失败 的 数目 
ipFragsOk Counter RO 成 功 拆 分 的 IP 数据 报 数 
ipFragsFails Counter RO 不 能 成 功 拆 分 而 被 丢弃 的 IP 数据 报 数 
ipFragsCreates Counter RO 本 实体 产生 的 IP 数据 报 碎片 数 
ipAddrTable SEQUENCE OF NA 本 实体 的 IP 地址 信息 
IpAddrEntry 
ipRouteTable SEQUENCE NA IP 路 由 表 
OF IpRouteEntry 
ipNetToMediaTable ”SEQUENCE OF NA 用 于 将 IP 映射 到 物理 地 址 的 地 址 转换 表 
IpNetToMedia Entry 
IpRouting Discards Counter RO 被 丢弃 的 路 由 选择 条 目 


2.3.5 icmp 组 


icmp(Internet Control Message Protocol) 是 TCP/IP 协议 簇 中 的 一 部 分 ,所 有 实现 IP 
协议 的 系统 都 提供 icmp。icmp 提供 从 路 由 器 或 其 他 主机 向 主机 传递 消息 的 手段 , 它 的 基本 
作用 是 反馈 通信 环境 中 存在 的 问题 。 

icemp 组 包含 有 关 一 个 节点 的 iemp 的 实现 和 操作 的 信息 , 它 所 包含 的 对 象 如 图 2-6(b) 
所 示 , 表 2-7 列 出 了 该 组 中 各 个 对 象 的 名 称 .语法 .访问 权限 和 功能 描述 。 


表 2-7 icmp 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
icmpInMsgs Counter RO 收 到 的 ICMP 消息 的 总 数 
icmpInErrors Counter RO 收 到 的 有 错 的 ICMP 的 消息 数 


icmpInDestUnreachs Counter RO 收 到 的 目的 地 不 可 到 达 的 消息 数 


续 表 


对 象 名 称 语 法 访问 权限 功能 描述 
icmpInTimeExcds Counter RO 收 到 的 超时 的 消息 数 
icmpInParmProbs Counter RO 收 到 的 有 参数 问题 的 消息 数 
icmpInSrcQuenchs Counter RO 收 到 的 源 有 问题 的 消息 数 
icmpInRedirects Counter RO 收 到 的 重 定向 的 消息 数 
icmpJInEchos Counter RO 收 到 的 要 求 echo 的 消息 数 
icmpJInEchoReps Counter RO 收 到 的 应 答 echo 的 消息 数 
icmpInTimestamps Counter RO 收 到 的 要 求 Timestamp 的 消息 数 
icmpInTimestampReps Counter RO 收 到 的 应 答 Timestamp 的 消息 数 
icmpInAddrMasks Counter RO 收 到 的 要 求 Address Mask 的 消息 数 
icmpInAddrMaskReps Counter RO 收 到 的 应 答 Address Mask 的 消息 数 
icmpOutMsgs Counter RO 发 出 的 ICMP 消息 的 总 数 
icempOutErrors Counter RO 发 出 的 有 错 的 ICMP 的 消息 数 
icmpOutDestUnreachs Counter RO 发 出 的 目的 地 不 可 到 达 的 消息 数 
icmpOutTimeExcds Counter RO 发 出 的 超时 的 消息 数 
icempOutParmProbs Counter RO 发 出 的 有 参数 问题 的 消息 数 
icmpOutSrcQuenchs Counter RO 发 出 的 源 有 问题 的 消息 数 
icmpOutRedirects Counter RO 发 出 的 重 定向 的 消息 数 
icempOutEchos Counter RO 发 出 的 要 求 echo 的 消息 数 
icmpOutEchoReps Counter RO 发 出 的 应 答 echo 的 消息 数 
icmpOutTimestamps Counter RO 发 出 的 要 求 Timestamp 的 消息 数 
icmpOutTimestampReps Counter RO 发 出 的 应 答 Timestamp 的 消息 数 
icmpOutAddrMasks Counter RO 发 出 的 要 求 Address Mask 的 消息 数 
icmpOutAddrMaskReps Counter RO 发 出 的 应 答 Address Mask 的 消息 数 


2.3.6 tcp 组 


tcp 组 包含 有 关 一 个 节点 的 TCP 的 实现 和 操作 的 信息 , 它 所 包含 的 对 象 如 图 2-6(c) 所 
示 。 表 2-8 列 出 了 该 组 中 各 个 对 象 的 名 称 .语法 .访问 权限 和 功能 描述 。 


表 2-8 tep 组 中 的 对 象 

对 象 名 称 语 法 访问 权限 功能 描述 
tcpRtoAlgorithm INTEGER RO 重 传 时 间 
tcpRtoMin INTEGER RO 重 传 时 间 的 最 小 值 
tcpRtoMax INTEGER RO 重 传 时 间 的 最 大 值 
tcpMaxConn INTEGER RO 实体 支持 的 TCP 连接 数 的 上 限 
tcpActiveOpens Counter RO 实体 已 经 支持 的 主动 打开 的 数量 
tcpPassiveOpens Counter RO 实体 已 经 支持 的 被 动 打开 的 数量 
tcpAttemptFails Counter RO 已 经 发 生 的 试 连 失败 的 次 数 
tcpEstabResets Counter RO 已 经 发 生 的 复位 的 次 数 
tcpCurrEstab Gauge RO 当前 状态 为 established 的 TCP 连接 数 
tcpInSegs Counter RO 收 到 的 segments 总 数 
tcpOutSegs Counter RO 发 出 的 segments 总 数 
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续 表 
对 象 名 称 语 法 访问 权限 功能 描述 
tcpRetranSegs Counter RO 重 传 的 segments 总 数 
tcpConnTable SEQUENCE NA 包含 TCP 各 个 连接 的 信息 
OF TepConnTntry 
tcpInErrors Counter RO 收 到 的 有 错 的 segments 的 总 数 
tcpOutRsts Counter RO 发 出 的 含有 RST 标志 的 segments 数 
2.3.7 udp 组 


udp 组 包含 有 关 一 个 节点 的 UDP 的 实现 和 操作 的 信息 ,所 包含 的 对 象 如 图 2-7(a) 所 
示 。 除 了 有 关 发 送 和 接收 的 数据 报 的 信息 之 外 ,这 个 组 中 还 包含 一 个 udpTable 表 ,该 表 中 
包含 UDP 端点 的 管理 信息 。 所 谓 UDP 端点 是 指正 在 支持 本 地 应 用 接收 数据 报 的 UDP 进 
程 。udpTable 表 中 包含 每 个 UDP 端点 用 户 的 IP 地 址 和 UDP 端口 。 


udp(2 7) 

上 udpInDatagrams(1) 
上 udpNoPorts(2) 

上 dupInErrors(3) 

|- udpOutDatagrams(4) 
L udpTable(5) 


(a) 


egp(2 8) 

上 egplnMsgs(1) 

上 egplnErrors(2) 

上 egpOutMsgs(3) 

上 egpOutErrors(4) 
上 egpNeighTable(5) 
— egpAs(6) 


(b) 


dot3(2 10) 

上 dot3StatsTable(2) 
上 dot3CollTable(3) 
上 dot3Tests(5) 

— dot3Errors(7) 


(0°) 


snmp(2 11) 

上 snmpInPkts(1) 

上 snmpInBadVersions(3) 

|- snmplnBadCommunityNames(4) 
上 snmplnBadCommunityUses(5) 
上 snmpInASNParseErrs(6) 

上 snmplnSetRequests(17) 

上 snmpOutTooBig(20) 


(d) 


图 2-7 MIB-2 的 udp、egp、dot3、snmp 组 


表 2-9 列 出 了 udp 组 中 各 个 对 象 的 名 称 、 语 法 ,访问 权限 和 功能 描述 。 
表 2-9 udp 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
udpInDatagrams Counter RO 递交 该 UDP 用 户 的 数据 报 的 总 数 
udpNoPorts Counter RO 收 到 的 目的 端口 上 没有 应 用 的 数据 报 总 数 
udpInErrors Counter RO 收 到 的 无 法 递交 的 数据 报 数 
udpOutDatagrams Counter RO 该 实体 发 出 的 UDP 数据 报 总 数 
udpTable SEQUENCE OF UdpEntry NA 包含 UDP 的 用 户 信 息 

2.3.8 egp 组 


egp 组 包含 有 关 一 个 节点 的 EGP(External Gateway Protocol) 的 实现 和 操作 的 信息 ,所 
包含 的 对 象 如 图 2-7(b) 所 示 。 除 了 有 关 发 送 和 接收 的 EGP 消息 的 信息 之 外 ,这 个 组 中 还 
包含 一 个 egpNeighTable 表 , 该 表 中 包含 有 关 相 邻 网 关 的 信息 。 表 2-10 列 出 了 该 组 中 各 个 


对 象 的 名 称 ,语法 .访问 权限 和 功能 描述 。 
表 2-10 egp 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 

egpInMsgs Counter RO 收 到 的 无 错 的 EGP 消息 数 

egpInErrors Counter RO 收 到 的 有 错 的 EGP 消息 数 

egpOutMsgs Counter RO 本 地 产生 的 EGP 消息 总 数 

egpOutErrors Counter RO 由 于 资源 限制 没有 发 出 的 本 地 产生 的 EGP 消息 数 
egpNeighTable ”SEQUENCE OF NA 相 邻 网 关 的 EGP 表 ( 表 内 的 对 象 略 ) 

EgpNeighEntry 
egpAs INTEGER RO 本 EGP 实体 的 自治 系统 数 


2.3.9 dot3 组 


dot3(transmission) 组 包含 的 对 象 提供 关于 系统 上 每 个 已 定义 接口 的 下 层 数据 链 路 介 
质 的 细节 。 事 实 上 ,dot3 组 并 不 能 真正 算是 一 个 组 ,更 像 是 MIB-2 分 支 层 次 上 的 一 个 节点 ， 
该 组 的 主要 目的 是 用 特定 接口 的 MIB 形式 提供 特定 接口 信息 。interfaces 组 在 一 个 给 定 系 
统 上 提供 应 用 于 所 有 接口 的 一 般 信息 ; 特定 接口 MIB 在 dot3 下 包含 的 信息 是 关于 某 个 特 
定数 据 链 路 协议 的 。 

图 2-7(c) 展 示 了 dot3 组 包括 的 四 个 表 : dot3StatsTable、dot3CollTable、dot3Tests 和 
dot3Errors 。 

dot3StatsTable 表 记 录 代 理 和 物理 网 络 介质 之 间 获 得 的 流量 统计 数据 。 需 要 用 一 个 表 
来 代替 一 组 特定 计数 器 是 因为 工作 站 、 服 务 器 和 其 他 网 络 设备 可 能 包含 多 于 一 个 的 网 络 接 
口 。 因 此 ,对 系统 上 定义 的 每 一 个 接口 有 一 个 表 项 。 该 表 由 dot3StatsIndex 对 象 x 索引 。 
表 2-11 列 出 了 该 组 中 各 个 对 象 的 名 称 、 语 法 ,访问 权限 和 功能 描述 。 


表 2-11 dot3 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
dot3StatsTable Counter RO 包含 从 代理 软件 和 网 络 介质 之 间接 口上 获得 
的 网 络 流量 统计 数据 
dot3CollTable Counter RO 包含 代理 和 网 络 介质 之 间 在 网 络 上 观察 到 冲 
突 活 动 的 记录 
dot3Tests Counter RO 测试 接口 
dot3Errors Counter RO 报告 错误 时 使 用 


2.3.10 snmp 组 


snmp 组 包含 SNMP 操作 和 执行 的 相关 信息 ,该 组 中 的 一 些 对 象 是 与 SNMP 管理 或 代 
理 功能 相关 的 。 所 以 ,每 个 SNMP 的 实现 可 能 使 用 该 表 中 的 某 些 对 象 , 那 些 代 理 不 支持 的 
对 象 将 包含 零 值 。 

图 2-7(d) 展 示 了 snmp 表 的 树 型 视图 ,已 经 作废 的 节点 并 没有 列 出 ,这 是 因为 当 SNMP 
v2 规范 发 表 后 ,许多 对 象 被 取消 了 。 然 而 ,由 于 许多 代理 继续 支持 SNMP v1, 所 以 这 些 对 
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象 仍 在 使 用 ,早先 的 snmp 组 对 象 将 继续 使 用 一 段 较 长 的 时 间 。 表 2-12 列 出 了 该 组 中 各 个 
对 象 的 名 称 .语法 .访问 权限 和 功能 描述 。 


表 2-12 snmp 组 中 的 对 象 


对 象 名 称 语 法 访问 权限 功能 描述 
snmpInPkts Counter RO 传递 给 该 代理 的 SNMP 消息 的 数量 
snmpInBadVersions Counter RO 传递 给 该 代理 ,但 该 代理 不 支持 的 SNMP 消息 的 数量 


snmpInBadCommunityNames Counter RO 传递 给 该 代理 的 包含 未 知 区 名 的 SNMP 消息 的 数量 
snmpJInBadCommunityUses Counter RO 传递 给 该 代理 的 某 种 SNMP 消息 的 数量 , 这 种 
SNMP 消息 包含 一 个 SNMP 操作 ,但 该 操作 根据 提 


供 的 区 名 而 不 允许 执行 
snmpInASNParseErrs Counter RO 对 输入 的 SNMP 消息 解码 时 ,发 生 BER 和 ASN 错 
误 的 数量 
snmplnSetRequests Counter RO 由 该 代理 接受 并 处 理 的 SNMP set-requests 的 数量 
snmpOutTooBig Counter RO 由 该 代理 产生 的 SNMP PDU 发 生 tooBig 错误 的 数量 


2.3.11 cmot 组 


前 面 介绍 了 MIB-2 中 除了 cmot 组 之 外 的 10 个 组 ,cmot 组 因为 开发 陷于 停顿 状态 ,所 
以 暂 不 讨论 。 实 际 上 MIB 本 身 是 在 不 断 的 扩充 之 中 ,目前 的 对 象 有 近 20 个 。 


2.4 本 章 小 结 


本 童 首先 介绍 了 管理 信息 库 (MIB) 的 概念 ; 然后 介绍 了 管理 信息 结构 (SMD) 的 概念 、 
MIB 的 结构 .MIB 的 数据 类 型 标量 对 象 和 表 结 构 的 表示 方法 等 内 容 ; 最 后 对 MIB-2 功能 
组 进行 了 介绍 。 

SMI 定义 了 一 些 通用 规则 ,包括 命名 对 象 ,定义 对 象 类 型 ,以 及 如 何 把 对 象 和 值 进行 编 
码 。MIB 在 需要 被 管理 的 实体 中 创建 了 命名 对 象 、 它 们 的 值 以 及 它们 彼此 之 间 关 系 的 集 
合 。MIB 如 同 程序 设计 语言 中 的 定义 变量 ,包括 变量 类 型 和 名 称 ; SMI 则 如 同 程 序 设 计 语 
言 中 定义 的 编码 规则 .语法 .变量 的 结构 ,数据 类 型 等 。 

本 章 重点 是 掌握 MIB、SMI 的 相关 概念 ; 理解 对 象 标识 .实例 表示 的 规则 和 方法 ; 了 解 
MIB-2 组 中 相关 对 象 的 功能 。 


习 题 2 
一 、 选 择 题 
1.SMI 包 括 三 个 部 分 ,它们 分 别 是 ( 访 
A. 陷阱 定义 B. 对 象 定义 C. 表 定 义 D. 模块 定义 
2. mgmt 节点 的 对 象 标识 符 是 ( 证 
A L381 B la61l1 G2 D: L613 


3. 为 了 实现 表 对 象 实例 的 唯一 标识 ,SNMP 定义 了 ( ) 访 问 技术 。 
A. 顺序 B. 链 式 C. 随机 D. 树 型 


4. 标量 对 象 类 型 只 有 一 个 对 象 实例 。 为 了 与 表格 对 象 实例 标识 符 的 约定 保持 一 致 ,也 
为 了 区 分 对 象 的 类 型 和 对 象 实例 ,SNMP 规定 标量 对 象 实例 的 标识 符 由 其 OID 后 加 ( ) 
来 标识 。 

A. 0 Bi C2 D. 特殊 字符 

5 ) 组 包含 实体 物理 接口 的 一 般 信息 ,包括 配置 信息 和 各 接口 中 所 发 生 的 事件 的 
统计 信息 ,这 个 功能 组 是 必须 实现 的 。 

A. ip B. system 
C. address translation D. interfaces 

二 、 简 答题 

. 什么 是 MIB? 

. 什么 是 SMI? 


2 
3.SNMP 中 管理 对 象 是 如 何 组 织 的 ? 
4. 
5 
6 


MIB-2 中 的 管理 对 象 分 哪 几 个 组 ? 
. 对 象 标识 符 是 由 什么 组 成 的 ? 网 络 中 的 设备 是 如 何 表 示 的 ? 
. 什么 是 标量 对 象 和 表 ? 它们 的 实例 是 如 何 标 识 的 ? 


第 3 章 网 络 管理 协议 


网 络 管理 系统 中 最 重要 的 部 分 就 是 网 络 管理 协议 , 它 定 义 了 网 络 管理 者 和 被 管 代 理 间 
的 通信 方法 。 目 前 主流 的 网 络 管理 协议 有 简单 网 络 管理 协议 (SNMP) 公共 管理 信息 服务 / 
公共 管理 信息 协议 (CMIS/CMIP) 等 。 


3.1 简单 网 络 管理 协议 


3.1.1 SNMP 的 发 展 


在 TCP/IP 的 早期 开发 中 ,网 络 管理 问题 并 未 得 到 足够 的 重视 ,直到 20 世纪 70 年 代 ， 
还 一 直 没 有 网 络 管理 协议 ,只 有 互联 网 络 控制 信息 协议 (ICMP) 可 以 作为 网 络 管理 的 工具 。 
但 是 到 了 20 世纪 80 年 代 后 期 , 当 互联 网 络 的 发 展 呈 指数 增长 时 ,人 们 才 意 识 到 需要 开发 功 
能 更 强 并 易于 普通 网 络 管理 人 员 学 习 和 使 用 的 标准 协议 。 

1987 年 11 月 发 布 的 SGMP, 成 为 提供 专用 网 络 管理 工具 的 起 点 。SGMP 提供 了 一 个 
直接 监控 网 关 的 方法 , 随 着 对 通用 网 络 管理 工具 需求 的 增长 ,出 现 了 3 个 有 影响 的 方法 : 

。 高 层 实体 管理 系统 (HEMS): 主机 监控 协议 (HMP) 的 一 般 化 。 

。 简单 网 络 管理 协议 (SNMP) : SGMP 的 升级 版 。 

。 TCP/IP 上 的 CMIPCCMOT) : 最 大 限度 地 与 OSI 标准 的 CMIP、 服 务 以 及 数据 库 结 

构 保 持 一 致 。 

1988 年 ,IAB 确定 了 将 SNMP 作为 近期 解决 方案 进一步 开发 ,因为 SNMP 开发 速度 
快 ,并 能 为 网 络 管理 经 验 库 的 开发 提供 一 些 基本 的 工具 ,因此 可 用 来 满足 眼前 的 需要 ; 而 把 
CMOT 作为 远 期 解决 方案 的 策略 。 当 时 普遍 认为 TCP/IP 不 久 将 会 过 渡 到 OSI, 因 而 不 应 
在 TCP/IP 的 应 用 层 协 议和 服务 上 花费 太 多 的 精力 。 

为 了 强化 这 一 策略 ,IAB 要 求 SNMP 和 CMOT 使 用 相同 的 被 管 对 象 数据 库 , 两 个 协议 
都 以 相同 的 格式 使 用 相同 的 监控 变量 。 因 此 ,两 个 协议 有 一 个 公共 的 SMI 和 一 个 MIB。 但 
是 ,人 们 很 快 发 现 这 两 个 协议 在 对 象 级 兼容 是 不 现实 的 ,因此 IAB 最 终 放松 了 公共 SMI/ 
MIB 的 条 件 , 并 允许 SNMP 独立 于 CMOT 发 展 。 从 对 OSI 的 兼容 性 的 束缚 中 解脱 后 ， 
SNMP 取得 了 迅速 的 发 展 , 很 快 被 众多 的 厂商 设备 所 支持 。 

但 是 , 当 SNMP 被 用 于 大 型 或 复杂 网 络 时 , 它 在 安全 性 和 功能 方面 的 不 足 就 变 得 明显 
了 。 为 了 弥补 这 些 不 足 ,1992 年 7 月 发 表 了 3 个 增强 SNMP 安全 性 的 文件 作为 建议 标准 。 
增强 版 与 原来 的 SNMP 是 不 兼容 的 . 它 需 要 改变 外 部 报 文句 柄 及 一 些 报 文 处 理 过 程 。 但 实 
际 定 义 协 议 操作 并 包含 SNMP 报 文 的 协议 数据 单元 (PDU) 保 持 不 变 , 并 且 没 有 增加 新 的 


PDU ,目的 是 尽量 实现 向 SNMP 的 安全 版 本 的 平滑 过 渡 。 同 样 是 在 1992 年 7 月 ,提出 一 个 
称 为 SMP 的 SNMP 新 版 本 。SMP 在 功能 和 安全 性 两 方面 提高 了 SNMP, 所 有 的 报 文 头 和 
安全 功能 都 与 提议 的 安全 性 增强 标准 相似 。 最 终 SMP 被 接受 为 定义 SNMP v2 的 基础 ， 
1993 年 安全 版 SNMP v2 发 布 。 

经 过 几 年 试用 以 后 ,IETF 决定 对 SNMP v2 进行 修订 ,1996 年 SNMP v2 的 安全 特性 
被 取消 了 , 报 文 格式 也 重新 采用 SNMP v1 的 基于 “共同 体 (community) ”概念 的 格式 。 删 除 
安全 特性 是 SNMP v2 发 展 过 程 中 最 大 的 失败 。 

1999 年 4 月 IETF SNMP v3 工作 组 提出 了 RFC2571 一 RFC2576, 形 成 了 SNMP v3 的 
建议 。SNMP v3 提出 了 SNMP 管理 框架 的 一 个 统一 的 体系 结构 ,在 这 个 体系 结构 中 ,采用 
User-based 安全 模型 和 View-based 访问 控制 模型 提供 SNMP 网 络 管理 的 安全 性 。 安 全 机 
制 是 SNMP v3 的 最 具 特 色 的 内 容 。 


3.1.2 SNMP 的 体系 结构 


SNMP 体系 结构 的 基本 框架 分 以 下 4 方面 说 明 。 

1. 网 络 管理 体系 结构 

SNMP 的 网 络 管理 模型 包括 以 下 关键 元 素 : 管理 者 ,代理 ,管理 信息 库 、 网 络 管理 协议 。 
管理 者 一 般 是 一 个 分 立 的 设备 ,也 可 以 利用 共享 系统 实现 。 管 理 者 被 作为 网 络 管理 员 与 网 
络 管理 系统 的 接口 , 它 的 基本 构成 如 下 : 

。 一 组 具有 分 析 数 据 ,发 现 故障 等 功能 的 管理 程序 。 

。 一 个 用 于 网 络 管理 员 监 控 网 络 的 接口 。 

。 将 网 络 管理 员 的 要 求 转变 为 对 远程 网 络 元 素 的 实际 监控 能 力 。 

。 一 个 从 所 有 被 管 网 络 实体 的 MIB 中 抽取 信息 的 数据 库 。 

网 络 管理 系统 中 另 一 个 重要 元 素 是 代理 一 一 装备 了 SNMP 的 平台 ,如 主机 、 网 桥 、 路 由 
器 及 集线器 均 可 作为 代理 工作 。 代 理 对 来 自 管理 者 的 信息 请 求 和 动作 请 求 进行 应 答 , 并 随 
机 地 为 管理 者 报告 一 些 重要 的 意外 事件 。 

与 CMIP 体系 相同 ,网 络 资源 也 被 抽象 为 对 象 进行 管理 ,但 SNMP 中 的 对 象 是 表示 被 
管 资源 某 一 方面 的 数据 变量 。 对 象 被 标准 化 为 跨 系统 的 类 ,对 象 的 集合 被 组 织 为 MIB。 
MIB 作为 设 在 代理 处 的 管理 者 访问 点 的 集合 ,管理 者 通过 读 取 /设置 MIB 中 对 象 的 值 来 
进行 网 络 监 控 。 管 理 者 可 以 在 代理 处 产生 动作 ,也 可 以 通过 修改 变量 值 改 变 代理 处 的 
配置 。 

管理 者 和 代理 之 间 通 过 网 络 管理 协议 通信 ,SNMP 通信 协议 主要 包括 以 下 能 力 : 
管理 者 读 取代 理 处 对 象 的 值 。 
管理 者 设置 代理 处 对 象 的 值 。 

。 trap 一 一 代理 向 管理 者 通报 重要 事件 。 

在 标准 中 ,没有 特别 指出 管理 者 的 数量 及 管理 者 与 代理 的 比例 。 一 般 地 ,应 至 少 要 有 两 
个 系统 能 够 完成 管理 者 功能 ,以 提供 元 余 度 ,防止 故障 。 另 一 个 实际 问题 是 一 个 管理 者 能 带 
动 多 少 代理 ,只 要 SNMP 保持 它 的 简单 性 ,这 个 数量 可 以 高 达 几 百 。 

2. 网 络 管理 协议 体系 结构 

SNMP 为 应 用 层 协 议 ,是 TCP/IP 协议 簇 的 一 部 分 , 它 通 过 UDP 来 操作 。 在 分 立 的 管 
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理 者 中 ,管理 进程 对 位 于 管理 者 中 心 MIB 的 访问 进行 控制 ,并 提供 网 络 管理 员 接 口 ,管理 进 
程 通过 SNMP 完成 网 络 管理 。SNMP 在 UDP 、IP 及 有 关 的 特殊 网 络 协议 之 上 实现 。 

每 个 代理 也 必须 实现 SNMP、UDP 和 IP。 另 外 ,有 一 个 解释 SNMP 的 报 文 和 控制 代理 
MIB 的 代理 进程 。 

图 3-1 描述 了 SNMP 的 协议 环境 ,从 管理 者 发 出 3 类 与 管理 应 用 有 关 的 SNMP 的 报 文 
GetRequest、GetNextRequest、SetRequest。3 类 报 文 都 由 代理 用 GetResponse 报 文 应 答 ， 
该 报 文 被 上 交 给 管理 应 用 。 另 外 ,代理 可 以 发 出 Trap 报 文 ,向 管理 者 报告 有 关 MIB 及 管理 
资源 的 事件 。 


SNMP 管 理 者 SNMP 代 理 
被 管 资源 
管理 应 月 SNMP 
= 管理 应 用 被 管 对 象 
首 弛 茹 8 好 多 多 
副 急  | 生 | 到 | 妇 
S| 2| 3| | 如 | 名 
学 | 村 | S| | | 全 
名 | 名 | 名 吕 村 吕 
口 | 口 | w 在 | 已 
SNMP Manager SNMP Agent 
SNMP 
UDP 消息 UDP 
IP IP 
依赖 网 络 的 协议 依赖 网 络 的 协议 


网 络 或 互联 网 络 


图 3-1 SNMP 的 协议 环境 


由 于 SNMP 依赖 UDP ,而 UDP 是 无 连接 型 协议 ,所 以 SNMP 也 是 无 连接 型 协议 。 在 
管理 者 和 代理 之 间 没 有 在 线 的 连接 需要 维护 ,每 次 交换 都 是 管理 者 和 代理 之 间 的 一 个 独立 
的 传送 。 

3. 陷阱 引导 轮 询 

如 果 管 理 者 负责 大 量 的 代理 ,而 每 个 代理 又 维护 大 量 的 对 象 , 则 靠 管理 者 及 时 地 轮 询 所 
有 代理 维护 的 所 有 可 读数 据 是 不 现实 的 ,因此 管理 者 采取 陷阱 引导 轮 询 技术 对 MIB 进行 控 
制 和 管理 。 

所 谓 陷 阱 引导 轮 询 技术 是 : 在 初始 化 时 ,管理 者 轮 询 所 有 知道 关键 信息 的 代理 ; 一 旦 
建立 了 基准 ,管理 者 将 降低 轮 询 频 度 。 相 反 地 ,由 每 个 代理 负责 向 管理 者 报告 异常 事件 。 例 
如 ,代理 崩溃 和 重启 动 .连接 失败 .过 载 等 ,这 些 事 件 用 SNMP 的 Trap 报 文 报告 。 管 理 者 一 
且 发 现 异 常情 况 , 可 以 直接 轮 询 报告 事件 的 代理 或 它 的 相 邻 代理 ,对 事件 进行 诊断 或 获取 关 
于 异常 情况 的 更 多 的 信息 。 

陷阱 引导 轮 询 可 以 有 效 地 节约 网 络 容量 和 代理 的 处 理 时 间 。 网 络 基 本 上 不 传送 管理 者 
不 需要 的 管理 信息 ,代理 也 不 会 无 意义 地 频繁 应 答 信息 请 求 。 


4. 代理 

SNMP 需要 管理 者 及 其 所 有 代理 支持 UDP 和 IP, 这 限制 了 在 不 支持 TCP/IP 协议 的 
设备 上 的 应 用 。 并 且 ,大量 的 小 系统 虽然 支持 TCP/IP 协议 ,但 不 希望 承担 维护 SNMP. 代 
理 软件 和 MIB 的 负担 。 

为 了 兼容 不 支持 SNMP 的 设备 ,SNMP 提出 了 代理 的 概念 。 在 这 个 模式 下 ,一 个 
SNMP 的 代理 可 以 作为 一 个 或 多 个 其 他 设备 的 代理 人 。 即 管理 者 向 代理 发 出 对 某 个 设备 
的 查询 操作 ,代理 能 够 将 查询 转变 为 该 设备 使 用 的 管理 协议 ; 当代 理 收 到 对 一 个 查询 的 应 
答 时 ,将 这 个 应 答 转 发 给 管理 者 。 同 样 , 如 果 一 个 来 自 托管 设备 的 事件 通报 传 到 代理 时 , 代 
理 则 以 陷阱 报 文 的 形式 将 它 发 给 管理 者 。 


3.1.3 SNMP v1 


1. SNMP v1 支持 的 操作 

SNMP 只 支持 对 管理 对 象 值 的 检索 和 修改 等 简单 操作 ,具体 地 ,可 以 对 MIB-2 中 的 对 
象 进行 3. 1. 2 节 所 述 的 Get\Set 和 Trap 三 种 操作 。MIB 的 结构 不 能 通过 增加 或 减少 对 象 
实例 被 改变 , 并且, 访问 只 能 对 对 象 标 识 树 中 的 叶子 对 象 进 行 。 这 些 限制 大 大 简化 了 
SNMP 的 实现 ,但 同时 也 限制 了 网 络 管理 系统 的 能 力 。 

2. 共同 体 和 安全 控制 

网 络 管理 是 一 种 分 布 式 的 应 用 ,与 其 他 分 布 式 的 应 用 相同 ,网 络 管理 中 包含 由 一 个 应 用 
协议 支持 的 多 个 应 用 实体 的 相互 作用 。 在 SNMP 网 络 管理 中 ,这 些 应 用 实体 就 是 采用 
SNMP 的 管理 者 应 用 实体 和 被 管理 者 的 应 用 实体 。 

SNMP 网 络 管理 具有 一 些 不 同 于 其 他 分 布 式 应 用 的 特性 , 它 包 含 一 个 管理 者 和 多 个 被 
管理 者 之 间 一 对 多 的 关系 。 即 管理 者 能 够 获取 和 设置 各 被 管理 者 的 对 象 ,能够 从 各 被 管理 
者 中 接收 陷阱 信息 。 因 此 ,从 操作 或 控制 的 角度 来 看 ,管理 者 管理 着 多 个 被 管理 者 。 同 时 ， 
系统 中 也 可 能 有 多 个 管理 者 ,每 个 管理 者 都 管理 所 有 的 或 一 部 分 被 管理 者 。 

反 过 来 ,SNMP 网 络 管理 中 还 包含 另外 一 种 一 对 多 的 关系 一 一 一 个 被 管理 者 和 多 个 管 
理 者 之 间 的 关系 。 每 个 被 管理 者 控制 着 自己 的 本 地 MIB, 同 时 必须 能 够 控制 多 个 管理 者 对 
这 个 本 地 MIB 的 访问 ,这 里 所 说 的 控制 有 以 下 三 个 方面 的 含义 : 

。 认证 服务 : 将 对 MIB 的 访问 限定 在 授权 的 管理 者 的 范围 内 。 

。 访问 策略 : 对 不 同 的 管理 者 给 予 不 同 的 访问 权限 。 

。 代理 服务 : 一 个 被 管理 者 可 以 作为 其 他 一 些 被 管理 者 (托管 站 ) 的 代理 ,这 就 要 求 在 

这 个 代理 系统 中 实现 为 托管 站 服务 的 认证 服务 和 访问 权限 。 

以 上 这 些 控 制 都 是 为 了 保证 网 络 管理 信息 的 安全 , 即 被 管 系统 需要 保护 它们 的 MIB 不 
被 非法 地 访问 。SNMP 通过 共同 体 的 概念 提供 了 初步 的 和 有 限 的 安全 能 力 。 

SNMP 用 共同 体 来 定义 一 个 代理 和 一 组 管理 者 之 间 的 认证 服务 .访问 控制 和 代理 服务 
的 关系 。 共 同体 是 一 个 在 被 管 系统 中 定义 的 本 地 的 概念 。 被 管 系统 为 每 组 可 选 的 认证 服 
务 . 访 问 控制 和 代理 服务 建立 一 个 共同 体 。 每 个 共同 体 被 赋予 一 个 在 被 管 系统 内 部 唯一 的 
共同 体 名 ,该 共同 体 名 要 提供 给 共同 体内 的 所 有 的 管理 者 .以便 它们 在 get 和 set 操作 中 应 
用 。 代 理 可 以 与 多 个 管理 者 建立 多 个 共同 体 , 同 一 个 管理 者 可 以 出 现在 不 同 的 共同 体 中 。 

由 于 共同 体 是 在 代理 处 本 地 定义 的 :因此 不 同 的 代理 处 可 能 会 定义 相同 的 共同 体 名 。 
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共同 体 名 相同 并 不 意味 着 共同 体 有 什么 相似 之 处 ,因此 ,管理 者 必须 将 共同 体 名 与 代理 联系 
起 来 加 以 应 用 。 

(1) 认证 服务 

认证 服务 是 为 了 保证 通信 是 可 信 的 。 在 SNMP 报 文 的 情况 下 ,认证 服务 的 功能 是 保证 
收 到 的 报 文 是 来 自 它 所 声称 的 报 文 源 。SNMP 只 提供 一 种 简单 的 认证 模式 , 即 所 有 由 管理 
者 发 向 代理 的 报 文 都 包含 一 个 共同 体 名 ,这 个 名 字 发 挥 口令 的 作用 ,如 果 发 送 者 知道 这 个 
“口令 ”, 则 认为 报 文 是 可 信和 的 。 

通过 这 种 有 限 的 认证 形式 ,网 络 管理 者 可 以 对 网 络 监控 (set \trap), 特 别 是 网 络 控制 
Cset) 操 作 进行 限制 。 共 同体 名 被 用 于 引发 一 个 认证 过 程 ,而 认证 过 程 可 以 包含 加 密 和 解密 
以 实现 更 安全 的 认证 。 

(2) 访问 策略 

通过 定义 共同 体 ,代理 将 对 它 的 MIB 的 访问 限定 在 了 一 组 被 选择 的 管理 者 中 。 通 过 使 
用 多 个 共同 体 , 代 理 可 以 为 不 同 的 管理 者 提供 不 同 的 MIB 访问 控制 。 访 问 控制 包含 以 下 两 
个 方面 : 

。 SNMP MIB 视图 一 一 MIB 中 对 象 的 一 个 子 集 。 可 以 为 每 个 共同 体 定义 不 同 的 MIB 

视图 。 视 图 中 的 对 象 子 集 可 以 不 在 MIB 的 一 个 子 树 之 内 。 

。 SNMP 访问 模式 一 一 READ-ONLY 或 READ-WRITE。 为 每 个 共同 体 定 义 一 个 访 

问 模 式 。 

MIB 视图 和 访问 模式 的 结合 被 称 为 SNMP 共同 体 轮廓 。 即 ,一 个 共同 体 轮廓 由 代理 处 
MIB 的 一 个 子 集 加 上 一 个 访问 模式 构成 。SNMP 访问 模式 统一 地 被 用 于 MIB 视图 中 的 所 
有 对 象 。 因 此 ,如 果 选 择 了 READ-ONLY 访问 模式 , 则 管理 者 对 视图 中 的 所 有 对 象 都 只 能 
进行 read-only 操作 。 

事实 上 ,在 一 个 共同 体 轮廓 之 内 ,存在 两 个 独立 的 访问 限制 一 -MIB 对 象 定义 中 的 访 
问 限制 和 SNMP 访问 模式 。 这 两 个 访问 限制 在 实际 应 用 中 必须 得 到 协调 。 表 3-1 给 出 了 
这 两 个 访问 限制 的 协调 规则 。 注 意 ,对 象 被 定义 为 write-only,SNMP 也 可 以 对 其 进行 read 
操作 。 


表 3-1 MIB 对 象 定义 中 的 ACCESS 限制 与 SNMP 访问 模式 的 关系 


MIB 对 象 定义 中 SNMP 访问 模式 


的 ACCESS 限制 | read-only read-write 
read-only | get 和 trap 操作 有 效 
read-write | get 和 trap 操作 有 效 get,set 和 trap 操作 有 效 
get 和 trap 操作 有 效 , 但 操作 值 与 具体 | get、set 和 trap 操作 有 效 , 但 操作 值 与 具 
write-only 本 
实现 有 关 体 实 现 有 关 
Not-accessible 无 效 


在 实际 应 用 中 ,一 个 共同 体 轮廓 要 与 代理 定义 的 某 个 共同 体 联 系 起 来 , 便 构 成 了 
SNMP 的 访问 策略 。 即 SNMP 的 访问 策略 指出 一 个 共同 体 中 的 MIB 视图 及 其 访问 模式 。 

(3) 代理 服务 

共同 体 的 概念 对 支持 代理 服务 也 是 有 用 的 。 如 前 所 述 ,在 SNMP 中 ,代理 是 指 为 其 他 


设备 提供 管理 通信 服务 的 代理 。 对 于 每 个 托管 设备 ,代理 系统 维护 一 个 对 它 的 访问 策略 ,以 此 
使 代理 系统 知道 哪些 MIB 对 象 可 以 被 用 于 管理 托管 设备 和 能 够 用 何 种 模式 对 它们 进行 访问 。 
3. SNMP 报 文 格式 
管理 者 和 代理 之 间 以 传送 SNMP 报 文 的 形式 交换 信息 。 图 3-2 所 示 为 封装 成 UDP 数 
据 报 的 5 种 操作 的 SNMP 报 文 格式 。 可 见 一 个 SNMP 报 文 共 由 三 个 部 分 组 成 , 即 公 共 
SNMP 首部 ,get/set 首部 (trap 首部 )、 变 量 绑 定 。 


— IP 数 据 报 | 

一 UDP 数据 报 -| 

2 字 节 8 字 节 - SNMP 报 文 | 
IP 首 部 | UDP 首部 | 公共 SNMP 首 部 | gevset 首 部 | 变量 绑 定 


版 本 | 共同 | PDU 类 型 | 请 求 标识 | 差错 状态 | 差错 | 名 | 值 | 名 | 值 
(0) | 体 (0~3) 符 (0~35) | 索引 


PDU 类 型 | 企业 | 代理 的 | trap 类 型 | 特定 时 间 | 名 | 值 | 名 | 值 | … 
(4 IP 地 址 | (0~6) | 代码 | 惟 
| trap 首 部 = 一 一 变量 绑 定 一 | 


图 3-2 SNMP 报 文 格式 


(1) 公共 SNMP 首部 

公共 SNMP 首部 包含 以 下 字段 : 

。 版 本 一 一 写 人 版 本 字段 的 是 版 本 号 减 1, 对 于 SNMP( 即 SNMP v1) 则 应 写 入 0。 

。 共 同体 一 一 共同 体 就 是 一 个 字符 串 , 作 为 管理 进程 和 代理 进程 之 间 的 明文 口令 , 常 
用 的 是 6 个 字符 “public”。 

。 PDU 类 型 一 一 根据 PDU 的 类 型 , 填 和 人 0 一 4 中 的 一 个 数字 ,其 对 应 关系 如 表 3-2 


所 示 。 
表 3-2 PDU 类 型 
PDU 类 型 名 称 PDU 类 型 名 称 
0 get-request 3 set-request 
攻 get-next-request 4 trap 
2 get-response 


(2) get/set 首部 

get/set 首部 包括 以 下 字段 : 

。 请 求 标识 符 (request ID) 一 一 这 是 由 管理 进程 设置 的 一 个 整数 值 ,代理 进程 在 发 送 
get-response 报 文 时 也 要 返回 此 请 求 标识 符 。 管 理 进 程 可 同时 向 许多 代理 发 出 get 
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报 文 ,这 些 报 文 都 使 用 UDP 传送 , 先 发 送 的 有 可 能 后 到 达 。 设 置 了 请 求 标 识 符 可 使 
管理 进程 能 够 识别 返回 的 响应 报 文 对 应 于 哪 一 个 请 求 报 文 。 


。 差错 状态 (error status) 
含义 见 表 3-3 的 描述 。 


由 代理 进程 回答 时 填 人 0 一 5 中 的 一 个 数字 ,各 数字 的 


表 3-3 差错 状态 描述 
差错 状态 名 字 


说 明 
0 noError 一 切 正常 
1 tooBig 代理 无 法 将 回答 装 人 到 一 个 SNMP 报 文 之 中 
名 noSuchName 操作 指明 了 一 个 不 存在 的 变量 
3 badValue 一 个 set 操作 指明 了 一 个 无 效 值 或 无 效 语法 
4 readOnly 管理 进程 试图 修改 一 个 只 读 变量 
5 genErr 某 些 其 他 的 差错 


。 差错 索引 (error index) 一 一 当 出 现 noSuchName、badValue 或 readOnly 的 差错 时 ， 
由 代理 进程 在 回答 时 设置 的 一 个 整数 , 它 指 明 有 差错 的 变量 在 变量 列表 中 的 偏 移 。 


(3) trap 首部 
trap 首部 包括 以 下 字段 ， 


。 企业 (Centerprise) : 填 和 人 trap 报 文 的 网 络 设 备 的 对 象 标识 符 。 此 对 象 标识 符 肯定 是 
在 图 2-2 的 对 象 命名 树 上 的 enterprise 节点 {1. 3.6.1.4.1} 下 面 的 一 棵 子 树 上 。 
。 代理 的 IP 地 址 : 该 字段 由 SNMP 代理 填写 ,用 来 指明 陷阱 的 发 送 者 。 
。 trap 类 型 : 此 字段 正式 的 名 称 是 generic-trap, 共 分 为 表 3-4 中 的 7 种 类 型 。 
表 3-4 trap 类 型 描述 
trap 类 型 名 字 i 


0 coldStart 

warmStart 

linkDown 

linkUp 
authenticationFailure 


egpNeighborLoss 


Do 


enterpriseSpecific 


说 明 
代理 进行 了 初始 化 
代理 进行 了 重新 初始 化 
一 个 接口 从 工作 状态 变 为 故障 状态 
一 个 接口 从 故障 状态 变 为 工作 状态 
从 SNMP 管理 进程 接收 到 具有 一 个 无 效 共 同体 的 报 文 
一 个 EGP 相 邻 路 由 器 变 为 故障 状态 
代理 自 定义 的 事件 ,需要 用 后 面 的 “特定 代码 "来 指明 


当 使 用 上 述 类 型 2,3、5 时 ,在 报 文 后 面 变量 部 分 的 第 一 个 变量 应 标识 响应 的 接口 。 


。 特定 代码 (specific-code) 


指明 代理 自 定义 的 时 间 ( 若 trap 类 型 为 6) ,否则 为 0。 


，。 时 间 戳 (timestamp) 一 一 指明 自 代理 进程 初始 化 到 trap 报告 的 事件 发 生 所 经 历 的 时 
间 ,单位 为 ms。 例 如 时 间 戳 为 1908 表明 在 代理 初始 化 后 1908ms 发 生 了 该 事件 。 


(4) 变量 绑 定 (variable-bindings) 


指明 一 个 或 多 个 变量 的 名 和 对 应 的 值 ,在 get 或 get-next 报 文中 ,变量 的 值 应 忽略 。 


4. 报 文 应 答 序列 


SNMP 报 文 在 管理 者 和 代理 之 间 传 送 , 包含 GetRequest、GetNextRequest 和 
SetRequest 的 报 文 由 管理 者 发 出 ,代理 以 GetResponse 啊 应 。Trap 报 文 由 代理 发 给 管理 


者 ,不 需要 应 答 ,所 有 报 文 发 送 和 应 答 序列 如 图 3-3 所 示 。 一 般 来 说 ,管理 者 可 连续 发 出 多 
个 请 求 报 文 , 然 后 等 待 代理 返回 的 应 答 报 文 。 如 果 在 规定 的 时 间 内 收 到 应 答 , 则 按照 请 求 标 
识 进行 配对 , 亦 即 应 签 报 文 必须 与 请 求 报 文 有 相同 的 请 求 标识 。 


管理 者 代理 管理 者 代理 
| GetNextRequestPDU 
GetResponsePDU GetResponsePDU 
管理 者 代理 管理 者 代理 
[| TrapPDU 
GetResponsePDU 


图 3-3 SNMP 报 文 应 答 序 列 


(1) GetRequest PDU 

GetRequest PDU 是 由 管理 者 应 用 程序 发 出 的 ,发 送 实体 将 以 下 字段 包含 在 PDU 之 中 ， 

。 PDU 类 型 指出 GetRequest PDU 类 型 。 

。 request-id 一 一 request-id 能 够 使 SNMP 应 用 将 得 到 的 各 个 应 答 与 发 出 的 各 个 请 求 
一 一 对 应 起 来 。 同 时 也 可 以 使 SNMP 实体 能 够 处 理由 于 传输 服务 的 问题 而 产生 的 
重复 的 PDU。 


»。 variablebindings 


要 求 获 取 值 的 对 象 实例 清单 。 
GetRequest PDU 的 SNMP 接收 实体 用 包含 相同 request-id 的 GetResponse PDU 进行 
应 答 。GetRequest 操作 是 原子 操作 , 即 要 么 所 有 的 值 都 提取 回来 ,要 么 一 个 都 不 提取 。 但 
SNMP 只 允许 提取 MIB 树 中 的 叶子 对 象 的 值 。 因 此 不 能 只 提供 一 个 表 或 一 个 条 目的 名 字 
来 获取 整个 表 或 整 行 的 对 象 值 。 但 是 可 以 将 表 中 每 行 的 各 个 对 象 包含 在 变量 绑 定 中 ,来 一 
次 获取 一 行 的 对 象 值 。 
(2) GetNextRequest PDU 
GetNextRequest PDU 几乎 与 GetRequest PDU 相同 ,GetNextRequest 操作 也 是 原子 
的 。 它 们 具有 相同 交换 模式 和 相同 的 格式 ,唯一 的 不 同 是 在 GetRequest PDU 中 ,变量 绑 定 
字段 中 列 出 的 是 要 取 值 的 对 象 实例 名 本 身 , 而 在 GetNextRequest PDU 中 ,变量 绑 定 字段 列 
出 的 是 要 取 值 的 对 象 实例 的 “前 一 个 "对象 实 例 名 。 
虽然 与 GetRequest 的 外 在 差异 不 大 ,但 是 GetrNextRequest 却 有 GetRequest 无 法 替代 
的 用 途 。 它 能 够 使 网 络 管理 者 去 动态 地 发 现 一 个 MIB 视图 的 结构 , 它 也 为 查找 不 知 其 条 目 
的 表 提 供 了 一 个 有 效 的 机 制 。 
(3) SetRequest PDU 
SetRequest PDU 由 管理 者 应 用 程序 发 出 ,与 GetRequest PDU 具有 相同 的 交换 模式 和 章 
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相同 的 格式 ,SetRequest 操作 也 是 原子 的 。 但 是 ,SetRequest 是 被 用 于 写 对 象 值 而 不 是 读 。 
因而 ,变量 绑 定 清单 中 既 包 含 对 象 实例 标识 符 , 也 包含 每 个 对 象 实例 将 被 赋予 的 值 。 

SetRequest PDU 的 SNMP 接收 实体 用 包含 相同 request-id 的 GetResponsePDU 进行 
应 答 。 如 果 应 答 实 体能 够 更 新 变量 绑 定 中 的 所 有 变量 , 则 GetResponsePDU 中 包含 提供 给 
各 个 变量 的 值 的 变量 绑 定 字段 。 只 要 有 一 个 变量 值 不 能 成 功 地 设置 , 则 无 变量 值 返回 ,也 无 
变量 值 被 更 新 。 

利用 SetRequest 不 仅 可 以 对 叶子 对 象 实例 进行 值 的 更 新 ,也 可 以 利用 变量 绑 定 字段 进 
行 表格 的 行 增加 和 行 删 除 操作 。 

除 此 之 外 ,SetRequest 还 可 被 用 于 完成 某 种 动作 。SNMP 没有 提供 一 种 命令 代理 完成 
某 种 动作 的 机 制 , 它 的 全 部 能 力 就 是 在 一 个 MIB 视图 内 get 和 set 对 象 值 ,但 是 利用 set 的 
功能 可 以 间接 地 发 布 完 成 某 种 动作 的 命令 。 某 个 对 象 可 以 代表 某 个 命令 , 当 它 被 设置 为 特 
定 值 时 ,就 执行 特定 的 动作 。 例 如 代理 可 以 设 一 个 初始 值 为 0 的 对 象 reBoot, 如 果 管 理 者 将 
这 个 对 象 值 置 1, 则 代理 系统 被 重新 启动 ,reBoot 的 值 也 被 重新 置 0。 

(4) Trap PDU 

TrapPDU 是 由 代理 应 用 程序 发 出 的 , 它 被 用 于 向 管理 者 异步 地 通报 某 个 重要 事件 。 它 
的 格式 与 其 他 的 SNMP PDU 完全 不 同 ,所 包含 的 字段 如 下 : 

。 PDU 类 型 一 一 指出 TrapPDU 类 型 。 

。 enterprise 一 一 标识 产生 本 trap 的 网 络 管理 子 系统 (用 system 组 中 的 sysObjectld 值 ) 。 

。 agent-addr 一 一 产生 本 trap 的 对 象 的 IP 地 址 。 

。 generic-trap 一 一 一 种 预定 义 的 trap。 

。 specific-trap 更 明确 地 指出 trap 特性 的 代码 。 

。 time-stamp 一 一 发 出 trap 的 网 络 实体 从 上 次 重启 到 产生 本 trap 所 经 历 的 时 间 。 

»。 variablebindings 有 关 trap 的 附加 信息 (本 字段 的 意义 与 具体 实现 有 关 ) 。 

5. 报 文 的 发 送 与 接收 过 程 

(1) 报 文 发 送 

一 般 情况 下 ,一 个 SNMP 协议 实体 完成 以 下 动作 向 其 他 SNMP 实体 发 送 PDU: 

@ 构成 PDU。 

@ 将 构成 的 PDU、 源 和 目的 传送 地 址 以 及 一 个 共同 体 名 传 给 认证 服务 。 认 证 服务 完 
成 所 要 求 的 变换 ,例如 进行 加 密 或 加 入 认证 码 , 然 后 将 结果 返回 。 

@ SNMP 协议 实体 将 版 本 字段 ,共同体 名 以 及 上 一 步 的 结果 组 合成 为 一 个 报 文 。 

@ 用 基本 编码 规则 (BER) 对 这 个 新 的 ASN. 1 的 对 象 编码 ,然后 传 给 传输 服务 。 

(2) 报 文 接收 

一 般 情 况 下 ,一 个 SNMP 协议 实体 完成 以 下 动作 接收 一 个 SNMP 报 文 : 

@ 进行 报 文 的 基本 句法 检查 ,丢弃 非法 报 文 。 

@ 检查 版 本 号 ,丢弃 版 本 号 不 匹配 的 报 文 。 

@ SNMP 协议 实体 将 用 户 名 、 报 文 的 PDU 部 分 以 及 源 和 目的 传输 地 址 传 给 认证 服务 。 
如 果 认 证 失败 ,认证 服务 通知 SNMP 协议 实体 ,由 它 产生 一 个 trap 并 丢弃 这 个 报 文 ; 如 果 
认证 成 功 , 认 证 服务 返回 SNMP 格式 的 PDU。 

@ 协议 实体 进行 PDU 的 基本 句法 检查 ,如果 非 法 ,丢弃 该 PDU; 否则 利用 共同 体 名 选 


择 对 应 的 SNMP 访问 策略 ,对 PDU 进行 相应 处 理 。 

在 SNMP 中 ,可 以 将 多 个 同类 操作 (get、set、trap) 放 在 一 个 报 文中 。 如 果 管 理 者 希望 
得 到 一 个 代理 处 的 一 组 标量 对 象 的 值 , 它 可 以 发 送 一 个 报 文 请 求 所 有 的 值 , 并 通过 获取 一 个 
应 答 得 到 所 有 的 值 。 这 样 可 以 大 大 减少 网 络 管理 的 通信 负担。 

为 了 实现 多 对 象 交换 ,所 有 的 SNMP 的 PDU 都 包含 了 一 个 变量 绑 定 字段 。 这 个 字段 
由 对 象 实例 的 一 个 参考 序列 及 这 些 对 象 的 值 构成 。 某 些 PDU 只 需 给 出 对 象 实例 的 名 字 ， 
如 get 操作 ,对 于 这 样 的 PDU ,接收 协议 实体 将 忽略 变量 绑 定 字段 中 的 值 。 


3.1.4 SNMP v2 


1. SNMP v2 对 SNMP vl 的 改进 

1993 年 ,SNMP 的 改进 版 SNMP v2 开始 发 布 , 最 初 的 SNMP v2 最 大 的 特色 是 增加 了 
安全 特性 ,因此 被 称 为 安全 版 SNMP v2。 但 不 幸 的 是 ,经 过 几 年 试用 ,没有 得 到 厂商 和 用 户 
的 积极 响应 ,并 且 也 发 现 自身 还 存在 一 些 严 重 缺陷 。 因 此 ,在 1996 年 正式 发 布 的 SNMP v2 
中 ,安全 特性 被 删除 。 这 样 ,SNMP v2 对 SNMP vl 的 改进 程度 便 受到 了 很 大 的 削弱 。 

总 的 来 说 ,SNMP v2 的 改进 主要 有 以 下 3 个 方面 : 

。 支持 分 布 式 管理 。 

。 改进 了 管理 信息 结构 。 

。 增强 了 管理 信息 通信 协议 的 能 力 。 

SNMP vl 采用 的 是 集中 式 网 络 管理 模式 ,网 络 管理 者 的 角色 由 一 个 主机 担当 ,其 他 设 
备 (包括 代理 软件 和 MIB) 都 由 管理 者 监控 。 随 着 网 络 规模 和 业务 负荷 的 增加 ,这 种 集中 式 
的 系统 已 经 不 再 适应 需要 。 管 理 者 的 负担 太 重 ,并 且 来 自 各 个 代理 的 报告 在 网 上 产生 大 量 
的 业务 量 。 而 SNMP v2 不 仅 可 以 采用 集中 式 的 模式 ,而 且 也 可 以 采用 分 布 式 模式 。 在 分 
布 式 模式 下 可 以 有 多 个 顶层 管理 者 ,被 称 为 管理 服务 器 。 每 个 管理 服务 器 可 以 直接 管理 代 
理 , 同 时 ,管理 服务 器 也 可 以 委托 中 间 管 理 者 担当 管理 者 角色 监控 一 部 分 代理 。 对 于 管理 服 
务 器 ,中 间 管 理 者 又 以 代理 的 身份 提供 信息 和 接受 控制 。 这 种 体系 结构 分 散 了 处 理 负担 , 减 
小 了 网 络 的 业务 量 。 

SNMP v2 在 几 个 方面 对 SNMP vl 的 SMI 进行 了 扩充 。 定 义 对 象 的 宏 中 包含 了 一 些 
新 的 数据 类 型 。 最 引 人 注 目的 变化 是 提供 了 对 表 中 的 行进 行 删除 或 建立 操作 的 规范 。 新 定 
义 的 SNMP v2 MIB 包含 有 关 SNMP v2 协议 操作 的 基本 流量 信息 和 有 关 SNMP v2 管理 者 
和 代理 的 配置 信息 。 

在 通信 协议 操作 方面 ,最 引 人 注 目的 变化 是 增加 了 两 个 新 的 PDU 一 一 GetBulkRequest 
和 InformRequest。 前 者 使 管理 者 能 够 有 效 地 提取 大 块 的 数据 ,后 者 使 管理 者 能 够 向 其 他 
管理 者 发 送 trap 信息 。 

2. SNMP v2 网 络 管理 框架 

SNMP v2 提供 了 一 个 建立 网 络 管理 系统 的 框架 。 但 网 络 管理 应 用 ,如 故障 管理 .性 能 
监测 、 计 费 等 不 包括 在 SNMP v2 的 范围 内 。 用 术语 来 说 ,SNMP v2 提供 的 是 网 络 管理 基础 
结构 。 

SNMP v2 本 质 上 是 一 个 交换 管理 信息 的 协议 ,网 络 管理 系统 中 的 每 个 角色 都 维护 一 个 
与 网 络 管理 有 关 的 MIB。SNMP v2 的 SMI 对 这 些 MIB 的 信息 结构 和 数据 类 型 进行 定义 ， 
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SNMP v2 提供 了 一 些 一 般 的 通用 的 MIB, 厂 商 或 用 户 也 可 以 定义 自己 私有 的 MIB。 

在 配置 中 至 少 有 一 个 系统 负责 整个 网 络 的 管理 ,这 个 系统 就 是 网 络 管理 应 用 驻 留 的 地 
方 。 管理 者 可 以 设置 多 个 ,以 便 提供 元 余 或 分 担 大 网 络 的 管理 责任 。 其 他 系统 担任 代理 角 
色 , 代 理 收集 本 地 信息 并 保存 ,以 备 管理 者 提取 。 这 些 信息 包括 系统 自身 的 数据 ,也 可 以 包 
括 网 络 的 业务 量 信息 。 

SNMP v2 既 支 持 高 度 集中 化 的 网 络 管理 模式 ,也 支持 分 布 式 的 网 络 管理 模式 。 在 分 布 
式 模 式 下 ,一些 系 统 担任 管理 者 和 代理 两 种 角色 ,这 种 系统 被 称 为 中 间 管 理 者 。 中 间 管 理 者 
以 代理 身份 从 上 级 管理 系统 接受 被 管理 信息 操作 命令 ,如 果 这 些 命令 所 涉及 的 管理 信息 在 
本 地 MIB 中 , 则 中 间 管 理 者 便 以 代理 身份 进行 操作 并 进行 应 答 ,如果 所 涉及 的 管理 信息 在 
中 间 管 理 者 的 下 属 代理 的 MIB 中 , 则 中 间 管 理 者 先 以 管理 者 身份 对 下 属 代 理 进行 发 布 操作 
命令 ,接收 应 答 ,然后 再 以 代理 身份 向 上 级 管理 者 应 答 。 

所 有 这 些 信 息 交 换 都 利用 SNMP v2 通信 协议 实现 。 与 SNMP vl 相同 ,SNMP v2 协 
议 仍 是 一 个 简单 的 request/response 型 协议 ,但 在 PDU 种 类 和 协议 功能 方面 对 SNMP vl 
进行 了 扩充 。 

3. 协议 操作 

(1) SNMP v2 报 文 

与 SNMP vl 相同 ,SNMP v2 以 包含 协议 数据 单元 (PDU) 的 报 文 的 形式 交换 信息 。 外 
部 的 报 文 结构 中 包含 一 个 用 于 认证 的 共同 体 名 。 

SNMP v2 确定 的 报 文 结构 如 下 : 


Message :: = SEQUENCE ! 
version INTEGER ( version (1) }， 一 SNMP v2 的 版 本 号 为 1 
community OCTET STRING, 一 共同体 名 
data ANY — SNMP v2 PDU 


} 


SNMP v2 报 文 的 发 送 和 接收 过 程 与 SNMP vl 报 文 的 发 送 和 接收 过 程 相同 。 

(2) PDU 格式 

在 SNMP v2 报 文 中 可 以 传送 7 类 PDU, 表 3-5 列 出 了 这 些 PDU, 同 时 指出 了 对 SNMP 
v1 也 有 效 的 PDU。 图 3-4 描述 了 SNMP v2 PDU 的 一 般 格式 。 


表 3-5 SNMP 协议 数据 单元 (PDU) 


PDU 描 述 SNMP v1 SNMP v2 
Get 管理 者 通过 代理 获得 每 个 对 象 的 值 O 〇 O 〇 
GetNext 管理 者 通过 代理 获得 每 个 对 象 的 下 一 个 值 O OO 
GetBulk 管理 者 通过 代理 获得 每 个 对 象 的 N 个 值 全 
Set 管理 者 通过 代理 为 每 个 对 象 设置 值 O O 〇 
Trap 代理 向 管理 者 传送 随机 信息 O O 〇 
Inform 管理 者 向 代理 传送 随机 信息 O 〇 
Response 代理 对 管理 者 的 请 求 进行 应 答 O O 〇 


PDU type | request-id 0 0 variable-bindings 


(a) GetRequestPDU,GetNextRequestPDU, SetRequestPDU, SNMP v2-TrapPDU, 
InformRequestPDU 


PDU type | request-id | error-status errorindex | variable-binedings 


(b) Response-PDU 


PDU type | request-id |non-repeaters|max-repetitionslvariable-bindings 


(c) GetBulkRequest-PDU 


namel | valuel | name2 | value2 0 namen| valuen 


(d) variable-bindings 


图 3-4 SNMP v2 PDU 格式 


值得 注意 的 是 , GetRequest、GetNextRequest、 SetRequest、SNMP v2-Tap InformRequest 
5 种 PDU 具有 完全 相同 的 格式 ,并 且 也 可 以 看 作 是 error-status 和 error-index 两 个 字段 被 
置 零 的 Response PDU 的 格式 。 这 样 设计 的 目的 是 减少 SNMP v2 实体 需要 处 理 的 PDU 格 
式 种 类 。 
OD GetRequest PDU 
SNMP v2 的 GetRequest PDU 的 语法 和 语义 都 与 SNMP vl 的 GetRequest PDU 相 
同 ,差别 是 对 应 答 的 处 理 。SNMP v1 的 GetRequest 操作 是 原子 的 ,而 SNMP v2 能 够 部 分 
地 对 GetRequest 操作 进行 应 答 。 即 使 有 些 变量 值 提供 不 出 来 ,变量 绑 定 字段 也 要 包含 在 应 
答 的 GetResponse PDU 之 中 。 如 果 某 个 变量 有 意外 情况 (noSuchObject ,noSuchInstance、 
endOfMibView), 则 在 变量 绑 定 字段 中 ,这 个 变量 名 与 一 个 代表 意外 情况 的 错误 代码 而 不 
是 变量 值 配对 。 
在 SNMP v2 中 ,按照 以 下 规则 处 理 GetRequest 变量 绑 定 字段 中 的 每 个 变量 来 构造 应 
答 PDU: 
。 正常 情况 下 , 值 字 段 被 设置 为 变量 值 。 
。 如果 OBJECT IDENTIFIER 前 级 与 该 请 求 在 代理 处 所 能 访问 的 变量 的 前 级 都 不 匹 
配 , 则 它 的 值 字段 被 设置 为 noSuchObject; 否则 ,如 果 变 量 名 与 该 请 求 在 代理 处 所 
能 访问 的 变量 的 名 称 都 不 匹配 , 则 它 的 值 字段 被 设置 为 noSuchInstance。 
。 如 果 由 于 其 他 原因 导致 变量 名 处 理 过 程 的 失败 , 则 无 法 返回 变量 值 。 这 时 ,应 答 实 
体 将 返回 一 个 error-status 字段 值 为 genErr, 并 在 error-index 字段 中 指出 问题 的 变 
量 的 应 答 PDU。 
。 如 果 生 成 的 应 答 PDU 中 的 报 文 过 大 ,超过 了 指定 的 最 大 限度 , 则 生成 的 PDU 被 丢 
弃 , 并 用 一 个 error-status 字段 值 为 tooBig、error-index 字段 值 为 0、 变 量 绑 定 字段 为 
空 的 新 的 PDU 应 答 。 
允许 部 分 应 答 是 对 GetRequest 的 重要 改进 。 在 SNMP vl 中 ,只 要 有 一 个 变量 值 取 不 
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回来 ,所 有 的 变量 值 就 都 不 能 返回 。 在 这 种 情况 下 ,发 出 操作 请 求 的 管理 者 往往 只 能 将 命令 
拆 分 为 多 条 只 取 单 个 变量 值 的 命令 。 相 比 之 下 ,SNMP v2 的 操作 效率 得 到 了 很 大 提高 。 

© GetNextRequest PDU 

SNMP v2 的 GetNextRequest PDU 的 语法 和 语义 都 与 SNMP vl 的 GetNextRequest 
PDU 相同 。 与 GetRequestPDU 相同 ,两 个 版 本 的 差别 是 对 应 答 的 处 理 , SNMP vl 的 
GetNextRequest 操作 是 原子 的 ,而 SNMP v2 能 够 部 分 地 对 GetNextRequest 操作 进行 
应 答 。 

在 SNMP v2 中 ,按照 以 下 规则 处 理 GetNextRequest 变量 绑 定 字 段 中 的 每 个 变量 来 构 
造 应 答 PDU 

。 确定 被 指名 的 变量 存在 下 一 个 变量 ,将 该 变量 名 和 它 的 值 成 对 地 放 人 结果 变量 绑 定 

字段 中 。 

。 如 果 被 指定 的 变量 之 后 不 存在 变量 , 则 将 被 指定 的 变量 名 和 错误 代码 

endOfMibView 成 对 地 放 和 人 结果 变量 绑 定 字段 中 。 

。 如 果 由 于 其 他 原因 导致 变量 名 处 理 过 程 的 失败 ,或 者 是 产生 的 结果 太 大 ,处 理 过 程 

与 GetRequest 相同 。 

© GetBulkRequest PDU 

SNMP v2 的 一 个 主要 改进 是 GetBulkRequest PDU, 这 个 PDU 的 目的 是 尽量 减少 查询 
大 量 管理 信息 时 所 进行 的 协议 交换 次 数 ,GetBulkRequest PDU 允许 SNMP v2 管理 者 请 求 
得 到 在 给 定 的 条 件 下 尽 可 能 大 的 应 答 。GetBulkRequest 操作 利用 与 GetNextRequest 相同 
的 选择 原则 , 即 总 是 顺序 选择 下 一 个 对 象 。 不 同 的 是 ,利用 GetBulkRequest 可 以 选择 多 个 
后 继 对 象 。 

GetBulkRequest 操作 的 基本 工作 过 程 为 : GetBulkRequest 在 变量 绑 定 字段 中 放 人 一 
个 CN 十 R) 个 变量 名 的 清单 。 对 于 前 N 个 变量 名 ,查询 方式 与 GetNextRequest 相同 , 即 对 
清单 中 的 每 个 变量 名 ,返回 它 的 下 一 个 变量 名 和 它 的 值 , 如 果 没 有 后 继 变量 , 则 返回 原 变量 
名 和 一 个 endOfMibView 的 值 。 

GetBulkRequest PDU 有 两 个 其 他 PDU 所 没有 的 字段 non-repeaters 和 max- 
repetitions。non-repeaters 字段 指出 只 返回 一 个 后 继 变 量 的 变量 数 ; max-repetitions 字段 
指出 其 他 的 变量 应 返回 的 最 大 的 后 继 变 量 数 。 

GetBulkRequest 操作 解除 了 SNMP 的 一 个 主要 限制 , 即 不 能 有 效 地 检索 大 块 数据 。 此 
外 ,利用 这 个 功能 可 以 减 小 管理 应 用 程序 的 规模 。 管 理应 用 程序 自身 不 需要 关心 组 装 在 一 
起 的 请 求 的 细节 ,不 需要 执行 一 个 试验 过 程 来 确认 请 求 PDU 中 的 name-value 对 的 最 佳 数 
量 。 并且, 即使 GetBulkRequest 发 出 的 请 求 过 大 ,代理 也 会 尽量 多 地 返回 数据 而 不 是 简单 
地 返回 一 个 tooBig 的 错误 报 文 。 为 了 获得 缺少 的 数据 ,管理 者 只 需 简 单 地 重 发 请 求 , 而 不 
必 将 原来 的 请 求 改 装 为 小 的 请 求 序列 。 

@ SetRequest PDU 

SetRequest PDU 由 管理 者 发 出 ,用 来 请 求 改 变 一 个 或 多 个 对 象 的 值 。 接 收 实体 用 一 个 
包含 相同 request-id 的 Response PDU 应 答 。 与 SNMP vl 相同 ,SetRequest 操作 也 是 原子 
的 。 如 果 接 收 实体 能 够 为 被 指名 的 所 有 变量 设置 新 值 , 则 Response PDU 返回 与 
SetRequest 相同 的 变量 绑 定 字段 。 只 要 有 一 个 变量 值 没 设置 成 功 ,就 不 更 新 任何 值 。 


SetRequest 的 变量 绑 定 分 为 确认 每 个 绑 定 对 和 更 新 在 变量 绑 定 字段 中 被 指名 的 所 有 
的 变量 两 个 阶段 。 

在 第 一 阶段 中 ,需要 对 每 个 绑 定 对 进行 确认 ,直至 所 有 的 绑 定 对 都 成 功 或 遇 到 一 个 失败 
为 止 。 如 果 失 败 , 则 返回 一 个 在 error-status 字段 给 出 的 错误 代码 ,在 error-index 字段 给 出 
有 问题 的 变量 的 序号 的 应 答 PDU。 如 果 在 确认 阶段 没有 遇 到 问题 , 则 进入 第 二 阶段 。 

在 第 二 阶段 中 ,不 存在 的 变量 需要 建立 ,存在 的 变量 被 赋予 新 值 。 只 要 遇 到 任何 失败 , 则 
所 有 的 更 新 都 被 撤销 ,并 返回 一 个 error-status 字段 值 为 commitFailed 的 Response PDU。 

@ SNMP v2 Trap PDU 

SNMP v2 Trap PDU 由 一 个 代理 实体 在 发 现 异常 事件 时 产生 并 发 给 管理 者 。 与 
SNMP vl 相同 , 它 用 于 向 管理 者 提供 一 个 异步 的 通报 以 便 报告 重要 事件 。 但 它 的 格式 与 
SNMP vl 不 同 ,与 GetRequest、GetNextRequest、GetBulkRequest、 SetRequest 和 InformRequest 
PDU 拥有 相同 的 格式 。 变 量 绑 定 字 段 用 于 容纳 与 陷阱 报 文 有 关 的 信息 。Trap PDU 是 一 
个 非 认 证 报 文 , 不 要 求 接收 实体 应 答 。 

© InformRequest PDU 

InformRequest PDU 由 一 个 管理 者 角色 的 SNMP v2 实体 应 它 的 应 用 请 求 发 给 另 一 个 
管理 者 角色 的 SNMP v2 实体 ,请 求 后 者 向 某 个 应 用 提供 管理 信息 。 与 SNMP v2 Trap 
PDU 类 似 ,变量 绑 定 字段 被 用 于 传送 相关 的 信息 。 

收 到 InformRequest 的 实体 首先 检查 承载 应 答 PDU 的 报 文大 小 ,如 果 报 文 超过 限度 ， 
用 一 个 含有 tooBig 错误 代码 的 Response PDU 应 答 。 和 否则 ,接收 实体 将 PDU 中 的 内 容 转 
到 信息 的 目的 地 ,同时 对 发 出 InformRequest 的 管理 者 用 error-status 字段 值 为 noError 的 
Response PDU 进行 应 答 。 


3.1.5 SNMP v3 


SNMP v3 在 SNMP v2 基础 之 上 增加 、 完 善 了 安全 和 管理 机 制 。SNMP v3 体系 结构 体 
现 了 模块 化 的 设计 思想 ,使 管理 者 可 以 简单 地 实现 功能 的 增加 和 修改 。 其 主要 特点 在 于 适 
应 性 强 ,可 适用 于 多 种 操作 环境 ,不 仅 可 以 管理 最 简单 的 网 络 ,实现 基本 的 管理 功能 ,还 能 够 
提供 强大 的 网 络 管理 功能 ,满足 复杂 网 络 的 管理 需求 。 

1. SNMP v3 的 新 特性 

SNMP v3 增加 一 些 新 特性 ,最 引 人 注 目的 新 特性 是 : Getbulk 操作 、64 位 计数 器 .增强 
了 的 set 命令 ,以 及 为 每 个 SNMP 引擎 分 配 的 独特 的 ID 号 等 。 这 些 新 特性 适应 了 网 络 技术 
的 进步 ,并 扩展 了 老 协议 的 某 些 局 限 性 。 而 且 ,SNMP v3 完善 了 一 些 协议 的 操作 , 当 查 询 代 
理 中 的 大 量 数据 时 ,Getbulk 操作 可 以 把 多 个 get 和 Getnext 操作 连接 到 一 个 包 内 ,这 样 可 
以 减少 传输 过 程 中 的 碰撞 效应 。SNMP v3 在 执行 set 操作 后 ,通过 一 个 查询 来 测试 set 操 
作 是 否 成 功 , 从 而 保证 其 有 效 性 。 这 个 最 新 的 SNMP 版 本 同时 也 改进 了 SNMP 管理 框架 
本 身 的 一 些 结构 。 此 外 ,SNMP v3 还 增加 了 一 个 snmpEngineID, 它 能 从 一 个 管理 设备 上 定 
位 其 他 设备 上 的 多 种 上 下 文 。 

这 些 新 特性 使 管理 者 能 在 网 络 拓扑 结构 中 跟踪 各 种 关系 ,有 助 于 在 一 个 管理 设备 中 鉴 
别 和 定位 更 复杂 的 网 络 基 础 部 件 。 
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2. SNMP v3 的 体系 结构 

SNMP v3 主要 有 三 个 模块 : 信息 处 理 和 控制 模块 .本 地 处 理 模块 和 用 户 安全 模块 。 

(1) 信息 处 理 和 控制 模块 

信息 处 理 和 控制 模块 (Message Processing And Control Model) 在 RFC 2272 中 定义 ， 
它 负 责 信息 的 产生 和 分 析 , 并 判断 信息 在 传输 过 程 中 是 否 要 经 过 代理 服务 器 等 。 在 信息 产 
生 过 程 中 ,该 模块 接收 来 自 调度 器 (Dispatcher) 的 PDU, 然 后 由 用 户 安全 模块 在 信息 头 中 加 
入 安全 参数 。 在 分 析 接收 的 信息 时 , 先 由 用 户 安全 模块 处 理 信息 头 中 的 安全 参数 ,然后 将 解 
包 后 的 PDU 送 给 调度 器 处 理 。 

(2) 本 地 处 理 模块 

本 地 处 理 模 块 (Local Processing Model) 的 功能 主要 是 进行 访问 控制 ,处 理 打包 的 数据 
和 中 断 。 访 问 控 制 是 指 通 过 设置 代理 的 有 关 信 息 使 不 同 的 管理 者 的 管理 进程 在 访问 代理 时 
具有 不 同 的 权限 , 它 在 PDU 这 一 级 完成 。 常 用 的 控制 策略 有 两 种 : 限定 管理 者 可 以 向 代理 
发 出 的 命令 或 确定 管理 者 可 以 访问 代理 的 MIB 的 具体 部 分 。 访 问 控制 的 策略 必须 预先 设 
定 ,SNMP v3 通过 使 用 带 有 不 同 参数 的 原 语 来 灵活 地 确定 访问 控制 方式 。 

(3) 用 户 安全 模块 

与 SNMP vl 和 SNMP v2 相 比 ,SNMP v3 增加 了 三 个 新 的 安全 机 制 : 身份 验证 ,加 密 
和 访问 控制 。 其 中 ,本 地 处 理 模块 完成 访问 控制 功能 ,而 用 户 安全 模块 (User Security 
Model) 则 提供 身份 验证 和 数据 加 密 服 务 。 身 份 验证 是 指 代理 (管理 者 ) 接 到 信息 时 首先 必 
须 确 认 信 息 是 否 来 自 有 权 的 管理 者 (代理 ) ,并 且 信 息 在 传输 过 程 中 未 被 改变 的 过 程 。 实 现 
这 个 功能 要 求 管理 者 和 代理 必须 共享 同一 密 钥 。 管 理 者 使 用 密 钥 计算 验证 码 , 然 后 将 其 加 
入 信息 中 ,而 代理 则 使 用 同一 密 钥 从 接收 的 信息 中 提取 出 验证 码 , 从 而 得 到 信息 。 加 密 的 过 
程 与 身份 验证 类 似 , 也 需要 管理 者 和 代理 共享 同一 密 钥 来 实现 信息 的 加 密 和 解密 。 

3. SNMP 实体 

SNMP v3 的 一 个 目标 是 支持 一 种 容易 扩展 的 模块 化 体系 结构 ,将 以 前 版 本 中 的 代理 和 
管理 者 统一 为 SNMP 实体 。SNMP 实体 由 两 部 分 组 成 : SNMP 引擎 和 SNMP 应 用 程序 。 
SNMP 实体 是 体系 结构 的 一 个 实现 ,每 个 SNMP 实体 都 由 一 个 SNMP 引 敬 和 一 个 或 多 个 
有 关 的 SNMP 应 用 组 成 ,图 3-5 显示 了 SNMP 实体 的 组 成 元 素 。 


SNMP v3 实 体 
SNMP 引 擎 SNMP 应 用 
理 命令 生 命令 应 答 
调度 器 人 季 令 生成 器 季 邻 应答 器 
通知 产生 器 通知 接收 器 
安全 访问 控制 
子 系统 子 系统 委托 代理 转发 器 其 他 


图 3-5 SNMP 实体 的 组 成 元 素 


SNMP 引擎 为 发 送 和 接收 报 文 、 认 证 和 加 密 报 文 .控制 对 被 管 对 象 的 访问 提供 服务 。 
SNMP 引擎 与 包含 它 的 SNMP 实体 之 间 存 在 一 对 一 的 联系 。SNMP 引擎 中 包括 : 调度 器 


(Dispatcher) 、 报 文 处 理子 系统 (Message Processing Subsystem) 、 安 全 子 系统 (Security 
Subsystem) 和 访问 控制 子 系统 (Access Control Subsystem)。 

在 一 个 管理 域 中 ,每 个 SNMP 引擎 都 有 一 个 唯一 的 和 明确 的 标识 符 (snmpEngingID)。 
由 于 引擎 和 实体 之 间 一 一 对 应 ,因此 snmpEngingID 也 能 在 管理 域 中 唯一 地 .明确 地 标识 实 
体 。 但 是 ,在 不 同 的 管理 域 中 ,SNMP 的 实体 可 能 会 有 相同 的 snmpEngineID。 

一 个 SNMP 引擎 中 只 有 一 个 调度 器 ,但 能 够 同时 支持 多 个 版 本 的 SNMP 报 文 。 它 的 
功能 包括 : 

。 向 网 络 发 送 或 从 网 络 接收 SNMP 报 文 。 

。 确定 SNMP 报 文 的 版 本 ,与 相应 的 报 文 处 理 模型 相互 作用 。 

。 为 SNMP 应 用 提供 抽象 接口 ,用 以 向 应 用 传递 PDU。 

。 为 SNMP 应 用 提供 抽象 接口 ,用 以 允许 它们 向 远程 SNMP 实体 发 送 PDU。 

4. 报 文 处 理子 系统 

报 文 处 理子 系统 负责 准备 要 发 送 的 报 文 和 从 收 到 的 报 文中 抽取 数据 。 如 图 3-6 所 示 ， 
报 文 处 理子 系统 由 一 个 或 多 个 报 文 处 理 模 块 组 成 。 


报 文 处 理子 系统 


SNMP v3 SNMP v1 SNMP v2c 其 他 
报 文 处 理 模块 报 文 处 理 模块 报 文 处 理 模块 报 文 处 理 模块 


图 3-6 报 文 处 理子 系统 


每 个 报 文 处 理 模块 定义 一 个 特定 版 本 的 SNMP 报 文 的 格式 ,对 应 所 定义 的 格式 对 准备 
和 抽取 处 理 进行 相应 的 调整 。 这 种 体系 结构 也 允许 扩充 其 他 的 报 文 处 理 模 块 ,扩充 的 处 理 
模块 可 以 是 企业 专用 的 ,也 可 以 是 以 后 的 标准 增添 的 。 

5. 安全 子 系统 

安全 子 系统 提供 诸如 报 文 的 认证 和 隐私 的 安全 服务 。 一 个 安全 子 系统 可 以 有 多 个 安全 
模块 ,以 便 提供 各 种 不 同 的 安全 服务 。 

从 体系 结构 上 来 讲 ,安全 子 系统 由 安全 模型 和 安全 协议 组 成 ,每 一 个 安全 模块 定义 了 一 
种 具体 的 安全 模型 ,指明 了 它 所 防范 的 威胁 、 服 务 


安全 子 系统 
的 目标 和 为 提供 安全 服务 所 采用 的 安全 协议 ,如 认 人 
证 和 隐私 。 安 全 协议 指出 为 提供 安全 服务 所 采用 基于 用 户 其 他 其 他 
的 机 制 . 过 程 和 MIB 对 象 ， 日 前 的 标准 提供 了 基 的 安全 模型 | | 安全 模型 安全 模型 
于 用 户 的 安全 模型 ,如 图 3-7 所 示 。 图 3-7 安全 子 系统 


SNMP v3 的 安全 目标 是 : 

。 能 够 验证 SNMP 报 文 的 完整 性 ,确认 在 传输 的 过 程 中 是 否 被 自 改 。 

。 能 够 鉴别 报 文 发 送 者 的 身份 ,识破 伪装 者 。 

。 可 以 查询 报 文 的 生成 时 间 ,确认 从 发 送 到 接收 的 延迟 是 否 在 限定 的 时 间 内 。 

为 了 实现 上 述 目标 ,RFC2574 把 安全 协议 分 为 认证 模块 ,时间 序列 模块 和 加 密 模 块 三 
个 模块 。 认 证 模块 用 于 数据 完整 性 鉴别 和 数据 源 身份 认证 ; 时 间 序 列 模块 用 于 检验 报 文 的 
传输 时 延 ,确认 其 在 规定 的 时 间 窗 口内 ; 加 密 模 块 实现 对 报 文 内 容 的 加 密 。 


网 络 党 理 座 议 
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6. 访问 控制 子 系统 

访问 控制 子 系统 通过 一 个 或 多 个 访问 控制 模块 提供 授权 服务 。 每 个 访问 控制 模块 定义 
一 个 特定 的 访问 决策 函数 ,用 以 支持 对 访问 权限 
的 决策 。 在 应 用 程序 处 理 的 过 程 中 ,访问 控制 模 访 同 深 仙 于 系 坟 
块 还 可 以 通过 已 定义 的 MIB 模块 进行 远程 配置 || 基于 视图 的 || 。 其 他 其 他 
访问 控制 策略 。 目 前 ,基于 视图 的 访问 控制 模型 访问 控制 模型 | | 访问 控制 模型 | | 访问 控制 模型 
ee SNMP v3 所 建议 的 ,如 图 3-8 图 3.8 访问 控制 子 系统 

不 。 


3.2 公共 管理 信息 协议 


3.2.1 CMIP/CMIS 概述 


公共 管理 信息 协议 (Common Management Information Protocol,CMIP) 协 议 是 在 OSI 
制订 的 网 络 管理 框架 中 提出 的 网 络 管理 协议 ,所 提供 的 服务 是 公共 管理 信息 服务 (Common 
Management Information Service,CMIS)。CMIP 包含 以 下 组 成 部 分 : 一 套用 于 描述 协议 
的 模型 ,一 组 用 于 描述 被 管 对 象 的 注册 ,标识 和 定义 的 管理 信息 结构 ,被 管 对 象 的 详细 说 明 
以 及 用 于 远程 管理 的 原 语 和 服务 。CMIP 与 SNMP 一 样 ,也 是 由 被 管 代理 和 管理 者 、 管 理 
协议 与 管理 信息 库 组 成 。 i = 和 汪 汪 
备 既 可 以 是 被 管 代理 ,也 可 以 是 管理 者 。 

CMIP 管理 模型 可 以 用 三 种 模型 进行 描述 : 组 织 模型 用 于 描述 管理 任务 如 何 分 配 ; 功 
能 模型 用 于 描述 各 种 网 络 管理 功能 和 它们 之 间 的 关系 ; 信息 模型 提供 了 描述 被 管 对 象 和 相 
关 管 理 信 息 的 准则 。 从 组 织 模型 来 说 ,所 有 CMIP 的 管理 者 和 被 管 代理 存在 于 一 个 或 多 个 
域 中 , 域 是 网 络 管理 的 基本 单元 。 从 功能 模型 来 说 ,CMIP 主要 实现 故障 管理 .配置 管理 ,性 
能 管理 、 记 账 管理 和 安全 性 管理 。 每 种 管理 均 由 一 个 特殊 管理 功能 领域 (Special 
Management Functional Area, SMFA) 负 责 完 成 。 从 信息 模型 来 说 ,CMIP 的 MIB 是 面向 
aa 每 一 个 功能 领域 以 对 象 为 MIB 的 存储 单元 。 

CMIP 是 一 全 独立 于 下 层 平台 的 应 用 层 协议 ， tke hana ea 
da ap 相对 来 说 ,CMIP 是 一 当 复 杂 le le 
它 的 设计 宗旨 与 SNMP 相同 ， We: 些 。CMIP 共 
义 了 11 类 PDU。 在 CMIP 中 ,变量 以 非常 复杂 和 高 级 的 对 象形 式 出 现 , 每 一 本 二 攻 各 汪 
量 属性 ,变量 行为 和 通知 。CMIP 中 的 变量 体现 了 CMIP MIB 的 特征 ,并 且 这 种 特征 表现 了 
CMIP 的 管理 思想 , 即 基于 事件 而 不 是 基于 轮 询 。 每 个 代理 独立 完成 一 定 的 管理 工作 。 


3.2.2 CMIS 的 实现 


OSI 网络 管理 协议 的 整体 结构 建立 在 假设 使 用 了 OSI 参考 模型 的 基础 上 ,网 络 管理 应 
用 进程 使 用 OSI 参考 模型 中 的 应 用 层 。 也 是 在 这 一 层 ,公共 管理 信息 服务 元 素 (CMISE) 提 
供 了 应 用 程序 使 用 CMIP 的 手段 。 在 第 7 层 中 又 包含 了 两 个 OSI 应 用 协议 : 联系 控制 服务 
元 素 (Association Control Service Element,ACSE) 和 远程 操作 服务 元 素 (Remote Operation 


Service Element,ROSE)。ACSE 用 于 在 应 用 程序 之 间 建 立 和 关闭 联系 ; ROSE 用 于 处 理 
应 用 之 间 的 请 求 /应 答 交 互 。 

OSI 参考 模型 中 ,第 1 层 到 第 6 层 对 网 络 管理 的 贡献 是 为 管理 信息 的 传递 提供 标准 的 
信息 传输 服务 ,在 应 用 层 上 则 要 有 特定 的 网 络 管理 应 用 服务 以 支持 网 络 管理 通信 。 在 OSI 
网 络 管理 标准 中 ,应 用 层 上 与 网 络 管理 应 用 有 关 的 实现 称 为 系统 管理 应 用 实体 。 

通过 协议 在 两 个 实体 (管理 者 与 代理 ) 之 间 进 行 管理 信息 的 交换 是 ISO 提出 的 网 络 管 
理 的 基本 功能 ,这 种 功能 被 称 为 公共 管理 信息 服务 元 素 (Common Management Information 
Service Element,CMISE) 。CMISE 的 定义 分 为 两 部 分 : 

。 CMIS 一 一 描述 提供 给 用 户 的 服务 。 

。 CMIP 一 一 描述 完成 CMIS 服务 的 PDU 的 格式 及 其 相关 联 的 过 程 。 

在 OSI 管理 信息 通信 中 ,管理 进程 和 管理 代理 是 两 个 对 等 的 应 用 实体 , 它们 调用 
CMISE 的 服务 来 交换 管理 信息 。CMISE 提供 的 服务 访问 点 支持 管理 进程 和 管理 代理 之 间 
有 控制 的 关联 。 关 联 用 于 管理 信息 的 查询 /响应 .传递 事 件 通知 .远程 启动 管理 对 象 的 操 
作 等 。 

CMISE 的 管理 信息 通信 需要 面向 连接 的 传输 支持 ,并 且 和 应 用 层 环 境 有 一 定 的 关系 。 
CMISE 利用 了 OSI 联系 控制 服务 元 素 (ACSE) 和 远程 操作 服务 元 素 (ROSE) 来 实现 它 自 己 的 
管理 信息 服务 。 为 了 实现 CMIS/CMIP, 有 3 个 OSI 应 用 层 协议 (也 称 为 服务 元 素 ) 必 不 可 少 : 

。 公共 管理 信息 服务 元 素 (CMISE) 一 一 用 于 提供 CMIS 服务 。 

。 联系 控制 服务 元 素 (ACSE) 一 一 用 于 建立 和 拆除 两 个 系统 之 间 应 用 层 的 通信 联系 。 

。 远程 操作 服务 元 素 (ROSE) 一 一 用 于 建立 和 释放 应 用 层 的 链接 。 

CMISE 使 用 户 能 够 访问 到 CMIS 管理 服务 ,该 服务 则 利用 CMIP 作为 其 管理 进程 / 代 
理 进 程 的 通信 手段 。CMISE 要 用 到 ACSE 和 ROSE 的 支持 ,用 于 对 应 用 联系 的 控制 。 
ACSE 实现 的 是 打开 和 关闭 管理 进程 和 代理 进程 之 间 的 通信 联系 ,而 ROSE 则 在 联系 建立 
起 来 后 传送 请 求 和 响应 。 

CMIS 定义 了 每 个 网 络 组 成 部 分 提供 的 网 络 管理 服务 。 这 些 服务 在 本 质 上 是 一 般 的 ， 
而 不 是 特有 的 ,CMIP 是 实现 CMIS 服务 的 协议 。 

OSI 网 络 协议 意 在 为 所 有 设备 在 OSI 参考 模型 的 每 一 层 提供 一 个 公共 网 络 结构 。 同 
样 ,CMIS/CMIP 意 在 提供 一 个 用 于 所 有 网 络 设备 的 完整 网 络 管理 协议 徐 。 为 了 提供 位 于 
多 种 不 同 的 网 络 机 器 和 计算 机 结构 之 上 所 需 的 网 络 管理 协议 特征 ,CMIS/CMIP 的 功能 和 结 
构 远 远 不 同 于 SNMP。SNMP 是 按照 简单 和 易于 实现 的 原则 设计 的 。OSI 网 络 管理 协议 并 不 
像 SNMP 一 样 过 分 简单 化 ,它们 能 够 提供 支持 一 个 完整 的 网 络 管理 方案 所 需 的 功能 。 


3.3 基于 Web 的 管理 技术 


3.3.1 WBM 概述 


1. WBM 的 产生 
随 着 应 用 Intranet 的 企业 的 增多 ,一 些 主要 的 网 络 厂商 正 试图 以 一 种 新 的 形式 去 应 用 
管理 信息 系统 ,从 而 进一步 管理 企业 网 络 。WBM(Web-Based Management) 技 术 人 允许 管理 
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人 员 通 过 与 WWW 同样 的 能 力 监测 他 们 的 网 络 , 这 将 使 得 大 量 的 Intranet 成 为 更 加 有 效 的 
通信 工具 。WBM 可 以 允许 网 络 管理 人 员 使 用 任何 一 种 Web 浏览 器 ,在 网 络 任何 节点 上 方 
便 迅速 地 配置 .控制 以 及 存 取 网 络 和 它 的 各 种 部 分 。WBM 是 网 管 方案 的 一 次 革命 , 它 将 使 
网 络 用 户 管理 网 络 的 方式 得 以 改善 。 

2. WBM 的 优势 

WBM 融合 了 Web 功能 与 网 管 技术 ,从 而 为 网 管 人 员 提 供 了 比 传统 工具 更 强 有 力 的 能 
力 。 管 理 人 员 应 用 WBM 能 够 通过 任何 Web 浏览 器 ,在 任何 站 点 监测 和 控制 企业 网 络 ,而 
不 再 只 拘泥 于 网 管 工作 站 ,并 且 由 此 能 够 解决 很 多 由 于 多 平台 结构 产生 的 互 操作 性 问题 。 
WBM 提供 比 传统 的 命令 驱动 远程 登录 屏幕 更 直接 、 更 易 用 的 图 形 界面 ,浏览 器 操作 和 Web 
页 面 对 WWW 来 讲 是 非常 熟悉 的 ,所 以 WBM 的 结果 必然 是 既 降 低 了 管理 信息 系统 全 体 培 
训 的 费用 ,又 促进 了 更 多 的 用 户 去 利用 网 络 运 行 状态 信息 。 


3.3.2 WBM 的 实现 方法 


WBM 有 两 种 基本 的 实现 方法 ,它们 之 间 平 行 地 发 展 而 且 互 不 干涉 。 

1. 代理 方式 

代理 方式 也 就 是 将 一 个 Web 服务 器 加 到 一 个 内 部 网 络 工作 站 (代理 ) 上 ,如 图 3-9 所 
示 , 这 个 工作 站 轮流 与 端 设备 通信 ,浏览 器 用 户 通过 HTTP 协议 与 代理 通信 ,同时 代理 通过 
SNMP 协议 与 端 设 备 通信 。 一 种 典型 的 实现 方法 是 提供 商 将 Web 服务 器 加 到 一 个 已 经 存 
在 的 网 管 设备 上 去 。 这 样 做 可 以 平衡 像 数 据 库 访问 .SNMP 轮 询 等 功能 。 


图 园 “rw 
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Cs 
具有 本 地 SNMP 代 理 的 网 络 设备 
图 3-9 基于 Web 管理 的 典型 方式 


2. 谋 入 方式 

谋 入 方式 将 Web 能 力 真 正 地 嵌入 到 网 络 设 备 中 ,每 个 设备 有 它 自己 的 Web 地 址 ,管理 
人 员 可 轻松 地 通过 浏览 器 访问 到 该 设备 并 且 管理 它 , 如 图 3-10 所 示 。 

代理 方式 保留 了 现存 的 基于 工作 站 的 网 管 系统 及 设备 的 全 部 优点 ,同时 还 增加 了 访问 
灵活 的 优点 。 既 然 代理 与 所 有 网 络 设备 通信 ,那么 它 当 然 能 提供 一 个 企业 的 所 有 物理 设备 
的 全 体 映像 ,就 像 一 个 虚拟 的 网 络 那样 。 代 理 与 设备 之 间 的 通信 沿用 SNMP, 所 以 这 种 方 
案 的 实施 只 需要 那些 “传统 ”的 设备 即 可 。 
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图 3-10 基于 Web 管理 的 嵌入 方式 


另 一 方面 , 嵌 人 方式 给 各 独立 设备 带 来 了 图 形 化 的 管理 。 这 一 点 保障 了 非常 简单 易 用 
的 接口 , 它 优 于 现在 的 命令 行 或 基于 菜单 的 远程 登录 界面 , Web 接口 可 提供 更 简单 的 操作 
而 不 损失 功能 。 

在 未 来 的 企业 网 络 中 ,基于 代理 和 基于 艇 人 方式 的 两 种 网 管 方案 都 将 被 应 用 。 一 个 
大 型 的 机 构 可 能 需要 继续 通过 所 谓 的 代理 方式 来 进行 全 部 网 络 的 监测 与 管理 ,而 且 代 理 
方案 也 能 够 充分 管理 大 型 机 构 中 的 纯粹 SNMP 设备 。 与 此 同时 ,嵌入 方式 也 将 有 着 强大 
的 生命 力 , 例 如 这 种 方式 在 不 断 前 进 的 界面 以 及 在 安装 新 设备 时 配置 设备 方面 就 极 具 
优势 。 

嵌入 方式 对 于 小 规模 的 环境 也 许 更 为 理想 ,小 型 网 络 系统 简单 并 且 不 需要 强 有 力 的 管 
理 系统 以 及 企业 全 面 视 图 。 通 常 组 织 在 网 络 和 设备 控制 的 培训 方面 比较 不 足 , 那 么 嵌入 到 
每 个 设备 的 Web 服务 器 将 使 用 户 从 复杂 的 网 管 中 解 放出 来 。 另 外 ,基于 Web 的 设备 提供 
真正 的 即 插 即 用 安装 ,这 将 减少 安装 时 间 ,故障 排除 时 间 。 


3.3.3 WBM 的 标准 


开放 标准 是 减轻 网 管 复杂 性 和 降低 网 络 管理 费用 的 必要 条 件 , 现 在 有 两 项 WBM 标准 
正 处 于 考虑 之 中 。 一 个 是 WBEM(Web-Based Enterprise Management) 标 准 , 于 1996 年 7 
月 推出 ,WBEM 是 Microsoft 最 先 提 出 的 ,包括 3Com 在 内 的 60 多 个 提供 商都 支持 此 项 标 
准 。 此 项 标准 是 面向 对 象 的 ,能 够 将 从 多 来 源 ( 设 备 、 系 统 、 应 用 程序 ) 以 多 协议 (例如 
SNMP、DMI) 获 得 的 数据 抽象 化 , 它 加 强 了 管理 能 力 ,并 且 使 它们 通过 单一 的 协议 出 现 。 

WBEM 被 认为 是 "兼容 和 扩展 "了 当前 的 标准 ,如 SNMP、DMI 和 CMIP, 并 不 是 取 而 代 
之 。 虽 然 WBEM 使 自己 以 Web 工具 的 形式 出 现 , 但 它 的 真正 目标 是 强化 对 于 网 络 元 素 和 
系统 的 管理 。WBEM 的 关键 是 一 个 新 的 协议 HMMP (Hypermedia Management 
Protocol) ,这 个 传输 协议 处 理 包括 重 发 功能 、 分 组 速率 、 传 送 证 实 以 及 允许 一 个 报 文 拆 成 一 
个 或 几 个 分 组 等 功能 。 

另 一 个 WBM 标准 是 JMAPI(Java-Management Application Program Interface) , 它 被 
作为 Sun 的 Java 标准 扩展 API 结构 的 一 部 分 。 超 过 JMAPI 本 身 的 含义 ,JMAPI 其 实 是 一 
个 完整 的 网 络 管理 应 用 程序 开发 环境 , 它 提 供 了 一 个 厂商 当今 不 得 不 收集 到 的 完全 的 特性 
清单 ,包括 生成 资源 清单 表格 .图像 的 用 户 接口 .SNMP 的 网 络 API、 远 程 过 程 调用 主机 、 数 
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据 库 访问 方法 以 及 式样 向 导 。 在 理论 上 ,JMAPI 的 应 用 程序 在 整个 Web 上 将 以 同样 的 界 
面 和 功能 灵活 地 实现 互 操作 。 


3.4 本 章 小 结 


本 章 主 要 介绍 了 SNMP 的 发 展 、 基 本 框架 格式、 通信 机 制 等 内 容 。 首 先 介 绍 了 SNMP 
演化 的 过 程 ,并 对 其 基本 结构 框架 .协议 环境 .基本 应 用 配置 等 基础 知识 进行 了 介绍 。 接 着 
分 别 介绍 了 SNMP v1、SNMP v2 .SNMP v3 的 基本 特点 ,并 简单 介绍 了 公共 管理 信息 协议 
(GMIP)。 最 后 介绍 了 基于 WBM 的 网 络 管理 思想 。 

SNMP 采用 了 基于 Client/Server 形式 的 管理 者 一 代理 模型 ,网 络 的 管理 与 维护 是 通过 
管理 者 与 代理 间 的 交互 工作 完成 的 。 目 前 ,SNMP 有 3 种 : SNMP v1、SNMP v2、SNMP 
v3。 第 1 版 和 第 2 版 没有 太 大 差距 ,但 SNMP v2 是 增强 版 本 ,包含 了 其 他 协议 操作 。 与 前 
两 种 相 比 ,SNMP v3 则 包含 更 多 安全 和 远程 配置 。 为 了 解决 不 同 SNMP 版 本 间 的 不 兼容 
问题 ,RFC3584 中 定义 了 三 者 共存 策略 。 

本 章 的 重点 是 掌握 不 同 版 本 SNMP 的 功能 和 特点 ,理解 其 通信 的 机 制 和 应 用 。 


习 题 3 
一 、 选 择 题 
1. SNMP 协议 主要 包括 (  ) 能 力 。 
A. Get B. Set C. Proxy D. Trap 


2. SNMP v2 既 支 持 高 度 集中 化 的 网 络 管理 模式 ,又 支持 分 布 式 的 网 络 管理 模式 。 在 
分 布 式 模式 下 ,一些 系统 担任 管理 者 和 代理 两 种 角色 ,这 种 系统 被 称 为 ( “)。 


A. 中 间 管 理 者 ”B. 转换 代理 C. 委托 代理 D. 标准 代理 
3. 在 通信 协议 操作 方面 ,SNMP v2 增加 了 两 个 新 的 PDU ,它们 是 ( ”)。 
A. GetBulkResponse B. GetBulkRequest 
C. informResponse D. informRequest 
4. RFC2574 把 安全 协议 分 为 三 个 模块 (  )。 
A. 访问 控制 B. 认证 C. 时 间 序 列 D. 加 密 
5. GetNextRequest PDU 与 GetRequest PDU 不 同 的 是 ( Ye 
A. 相同 的 交换 模式 B. 原子 性 操作 
C. 取 值 的 对 象 D. 相同 的 格式 
6. 下 列 PDU 由 代理 发 出 的 是 ( je 
A. GetRequest B. SetRequest 
C. GetNextRequest D. trap 
7. SNMP v3 与 比 前 的 版 本 相 比 最 大 的 改进 在 于 ( ) 方 面 。 
A. 效率 B. 安全 C. 质量 D. 通信 机 制 


8. WBM 有 ( ) 两 种 实现 的 方法 ,它们 之 间 平 行 地 发 展 而 且 互 不 干涉 。 
A. 代理 方式 B. 嵌入 方式 C. 集中 方式 D. 分 布 式 方式 


9. SNMP v2 的 GetRequest PDU 的 语法 和 语义 都 与 SNMP vl 的 GetRequest PDU 相 
同 ,差别 是 SNMP v2 对 应 答 的 处 理 ( ) 。 


A. 要 么 所 有 的 值 都 返回 ,要 么 一 个 也 不 返回 
B. 能 够 部 分 地 对 GetRequest 操作 进行 应 答 
C. 能 够 全 部 地 对 GetRequest 操作 进行 应 答 
D. 都 不 进行 应 答 


二 、 简 答题 


2 
3 
4 
5 


. 什么 是 陷阱 引导 轮 询 ? 

. 简 述 SNMP 的 体系 结构 。 

. 什么 是 共同 体 ? 

. 试 比较 SNMP v2 与 SNMP vl 有 什么 不 同 。 

. 简 述 SNMP v3 体系 结构 的 组 成 ,并 说 明 各 部 分 的 功能 。 
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第 4 章 远程 网 络 监视 


远程 网 络 监视 (Remote Network Monitoring ,RMON) 是 对 SNMP 标准 的 重要 补充 ,是 
简单 网 络 管理 向 Internet 过 渡 的 重要 步骤 。RMON 扩充 了 管理 信息 库 , 可 以 提供 有 关 
Internet 管理 的 主要 信息 ,在 不 改变 SNMP 条 件 下 增强 了 网 络 管理 的 功能 。 


4.1 RMON 的 基本 概念 


4.1.1 为 什么 需要 RMON 


1. RMON 的 概念 

RMON 最 初 的 设计 是 用 来 解决 从 一 个 中 心 点 管理 各 局 域 分 网 和 远程 站 点 的 问题 。 
RMON 规范 是 由 SNMP MIB 扩展 而 来 。RMON 中 ,网 络 监 视 数据 包含 了 一 组 统计 数据 和 
性 能 指标 ,它们 在 不 同 的 监视 器 (或 称 探测 器 ) 和 控制 台 系 统 之 间 相 互 交 换 。 结 果 数 据 可 用 
来 监控 网 络 利 用 率 , 以 用 于 网 络 规划 ,性 能 优化 和 协助 网 络 错误 诊断 等 。 

当前 RMON 有 两 种 版 本 : RMON vl 和 RMON v2。RMON vl 在 目前 使 用 较为 广泛 
的 网 络 硬件 中 都 能 发 现 , 它 定 义 了 9 个 MIB 组 服务 于 基本 网 络 监控 ; RMON v2 是 RMON 
v1 的 扩展 ,专注 于 MAC 层 以 上 更 高 的 流量 层 , 它 主要 强调 IP 流量 和 应 用 程序 层 流量 ,允许 
网 络 管理 应 用 程序 监控 所 有 网 络 层 的 信息 包 , 与 前 者 不 同 ,后 者 只 允许 监控 MAC 及 其 以 下 
层 的 信息 包 。 

RMON 监视 系统 由 两 部 分 构成 : 探测 器 (代理 或 监视 器 ) 和 管理 者 。RMON 代理 在 
RMON MIB 中 存储 网 络 信息 ,它们 被 直接 植 入 网 络 设备 (如 路 由 器 ,交换 机 等 ) ,代理 也 可 
以 是 PC 上 运行 的 一 个 程序 。 代 理 只 能 看 到 流 经 它们 的 流量 ,所 以 在 每 个 被 监控 的 LAN 段 
或 WAN 链接 点 都 要 设置 RMON 代理 ,管理 者 用 SNMP 获取 RMON 数据 信息 。 

2. RMON 的 意义 

SNMP 使 用 嵌入 到 网 络 设施 中 的 代理 软件 来 收集 网 络 通信 信息 和 有 关 网 络 设备 的 统 
计数 据 。 代 理 不 断 地 收集 统计 数据 ,并 把 这 些 数据 记录 到 一 个 MIB 中 。 网 络 管理 员 通过 向 
代理 的 MIB 发 出 查询 信和 号 可 以 得 到 这 些 信息 ,这 个 过 程 叫 轮 询 (polling) 。 

虽然 MIB 计数 器 将 统计 数据 的 总 和 记录 下 来 了 ,但 它 无 法 对 日 常 通信 量 进行 历史 分 
析 。 为 了 能 全 面 地 查看 通信 流量 和 变化 率 ,管理 人 员 就 必须 不 断 地 轮 询 SNMP 代理 。 只 有 
这 样 ,才能 使 用 SNMP 来 评价 网 络 的 运行 状况 ,揭示 出 通信 的 趋势 等 。 但 是 轮 询 机 制 有 如 
下 明显 的 弱点 : 

。 没有 伸缩 性 。 在 大 型 网 络 中 , 轮 询 会 产生 巨大 的 网 络 管理 通信 量 , 导 致 网 络 通信 和 负 


荷 加 重 , 甚 至 导致 拥挤 情况 发 生 。 

。 将 收集 数据 的 负担 加 在 网 络 管理 控制 台 上 (管理 进程 端 ) 。 管 理 者 所 在 的 计算 机 的 
处 理 能 力 总 是 有 限 的 ,也 许 能 轻松 地 收集 几 个 网 段 的 信息 , 当 它 们 监控 数 十 个 网 段 
时 ,恐怕 CPU 就 无 法 应 付 。 

基于 上 述 原因 ,人 们 就 提出 一 种 高 效 、 低 成 本 的 网 络 监视 方案 ,这 就 是 RMON。 


4.1.2 RMON 的 目标 


RMON 定义 了 远程 监视 的 管理 信息 库 , 以 及 SNMP 管理 者 和 远程 监视 器 之 间 的 接口 ， 
一 般 RMON 的 目标 只 是 监视 子 网 范围 内 的 通信 ,从 而 减少 管理 者 和 被 管理 者 系统 间 的 通 
信和 负担 。RMON 具有 下 列 目 标 : 

(1) 离线 操作 。 必 要 时 管理 者 可 以 停止 对 监视 器 的 轮 询 , 从 而 提高 带宽 利用 率 。 即 使 
不 接受 管理 者 查询 ,监视 器 也 能 不 断 收集 子 网 故障 、 性 能 和 配置 方面 信息 ,统计 和 积累 数据 ， 
以 便 管理 者 查询 时 及 时 提供 管理 信息 。 另 外 ,在 网 络 出 现 异常 时 使 其 能 及 时 向 管理 者 报告 。 

(2) 主动 监视 。 如 监视 器 有 足够 资源 ,通信 和 负载 允许 ,监视 器 可 以 连续 地 或 周期 地 运行 
诊断 程序 ,获得 并 记录 网 络 性 能 参数 。 

(3) 问题 检测 和 报告 。 如 果 主 动 监视 消耗 网 络 资源 太 多 ,监视 器 也 可 以 被 动 地 获得 网 
络 数据 。 可 以 配置 监视 器 ,使 其 连续 观察 网 络 资源 的 消耗 情况 ,记录 随时 出 现 的 异常 条 件 ， 
并 在 出 现 异 常 时 向 管理 者 报告 。 

(4) 提供 增值 数据 。 监 视 器 可 以 分 析 收 集 到 的 子 网 数据 ,从 而 减轻 管理 者 的 计算 任务 。 
如 ,监视 器 可 以 分 析 子 网 的 通信 情况 ,计算 出 哪些 主机 通信 最 多 .哪些 主机 出 错 最 多 等 。 这 
些 数 据 的 收集 和 计算 由 监视 器 来 做 , 比 由 远 端 的 管理 者 来 做 更 有 效 。 

(5) 多 管理 者 操作 。 一 个 网 络 可 以 有 多 个 管理 者 ,这样 可 以 提高 可 靠 性 ,或 者 分 布地 实 
现 不 同 的 网 络 管理 功能 。 可 以 配置 监视 器 使 其 能 够 并 发 地 工作 ,为 不 同 的 管理 者 提供 不 同 
的 信息 。 

不 是 每 一 个 监视 器 都 能 实现 所 有 目标 ,但 RMON 规范 操作 提供 了 实现 这 些 目 标的 
基础 。 


4.1.3 表 管 理 原 理 


1. RMON 规范 中 的 表 结 构 

在 SNMP v1 管理 框架 中 ,对 表 操 作 的 规定 是 很 不 完善 的 ,至 少 行 增加 和 行 删除 的 操作 
是 不 明确 的 ,这 种 模糊 性 常常 是 读者 提问 的 焦点 和 用 户 抱 她 的 根源 。RMON 规范 包含 一 组 
文本 约定 和 过 程 化 规则 ,在 不 修改 .不 违反 SNMP 管理 框架 的 前 提 下 提供 了 明晰 而 规律 的 
行 增加 和 行 删除 操作 。 

在 RMON 规范 中 增加 了 两 种 新 的 数据 类 型 ,以 ASN. 1 表示 为 : 

。 OwnerString: :一 DisplayString 

。 EntryStatus:: =INTEGER (valid(]1) ,createRequest(2) ,underCreation(3) ,invalid(4)} 

RFC1212 规定 的 管理 对 象 宏 定义 中 , DisplayString 被 定义 为 长 255 个 字 节 的 
OCTETSTRING 类 型 ,这 里 又 给 了 另外 一 个 名 字 OwnerString, 从 而 赋予 了 新 的 语义 。 
RFC1757 把 这 些 定义 叫做 文本 约定 (textal convention) ,其 用 意 是 增强 规范 的 可 读 性 。 
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在 每 一 个 可 读 / 写 的 RMON 表 中 都 有 一 个 对 象 ,其 类 型 为 OwnerString, 其 值 为 表 行 中 所 
有 人 或 创建 者 的 名 字 , 对 象 名 以 Owner 结尾 ; RMON 表 中 还 有 一 对 象 ,类 型 为 EntryStatus, 其 
值 表 示 行 的 状态 ,对 象 名 以 Status 结尾 ,该 对 象 用 于 行 的 生成 ,修改 和 删除 操作 。 

RMON 规范 中 的 表 结 构 由 控制 表 和 数据 表 两 部 分 组 成 ,控制 表 定义 数据 表 的 结构 , 数 
据 表 用 于 存储 数据 。 

(1) 控制 表 

控制 表 包 含 rmlControlIndex、 rmlControlParameter、 rmlControlOwner、 rmlControlStatue 
对 象 。 

。 rmlControlIndex: 唯一 地 标识 rmlControlTable 中 的 一 行 ,该 控制 行 定义 了 rmlDataTable 

中 的 一 个 数据 行 集合 ,集合 中 的 数据 行 由 rmlControlTable 的 相应 行 控 制 。 
。 rmlControlParameter: 控制 参数 应 用 于 由 控制 行 控制 的 所 有 数据 行 ,通常 有 多 个 控 
制 参 数 ,而 这 个 简单 的 表 只 有 一 个 控制 参数 。 

。 rmlControlOwner: 该 控制 行 的 所 有 者 。 

。 rmlControlStatus: 控制 行 的 状态 。 

(2) 数据 表 

数据 表 由 rmlDataControlIndex 和 rmlDataIndex 共同 索引 。rmlDataControlIndex 的 
值 与 控制 行 的 索引 值 rmlControlIndex 相同 ,而 rmlDataIndex 的 值 唯一 地 指定 了 数据 行 集 
合 中 的 某 一 行 。 图 4-1 给 出 了 这 种 表 的 一 个 实例 ,其 中 控制 表 有 3 行 ,因而 定义 了 数据 表 的 
3 个 数据 行 的 集合 。 数 据 表 的 所 有 rmlDataControlIndex 的 值 为 1 的 行 都 由 控制 表 的 第 1 
行 控制 ,数据 表 中 所 有 rmlDataControlIndex 值 为 2 的 行 都 由 控制 表 的 第 2 行 控制 ,数据 表 
中 所 有 rmlDataControlIndex 值 为 3 的 行 都 由 控制 表 的 第 3 行 控 制 。 控 制 表 中 的 第 一 行 的 
所 有 者 为 monitor, 按 照 约 定 这 是 指 代 理 本 身 。 

rmlControlTable 
rmlControlIndex rmlControlParameter rmlControlOwer rmlControlStatus 
1 3 monitor | valid 
2 24 manager a valid 

| 友 


managerb valid 


rmlDataTable 
rmlDataControlIndex rmlDatalndex rmlDataValue 
1 1 45 
1 79 
2 35 
E 45 
4 93 
5 
1 
2 


2 
2 
2 
2 
2 
3 
3 


图 4-1 RMON 表 的 实例 


2. 增加 行 

管理 者 用 set 命令 在 RMON 表 中 增加 行 , 并 遵循 下 列 规则 : 

(1) 管理 者 用 SetRequest 生成 一 个 新 行 ,如 果 新 行 的 索引 值 与 其 他 行 的 索引 值 不 冲突 ， 
则 代理 产生 一 个 新 行 , 其 状态 值 为 createRequest(2) 。 

(2) 新 行 产 生 后 ,由 代理 把 状态 对 象 的 值 置 为 underCreation(3)。 对 于 管理 者 没有 设 
置 新 值 的 列 对 象 ,代理 可 以 置 为 默认 值 ,或 者 让 新 行 维持 这 种 不 完整 ,不 一 致 的 状态 。 

(3) 新 行 的 状态 值 保 持 为 underCreation(3) ,直到 管理 者 产生 了 所 要 生成 的 新 行 。 这 
时 由 管理 者 置 每 一 新 行 状态 的 对 象 的 值 为 valid(1)。 

(4) 如 果 管 理 者 要 生成 的 新 行 已 经 存在 , 则 返回 一 个 错误 值 。 

以 上 算法 的 效果 是 ,在 多 个 管理 者 请 求 产 生 同 一 概念 行 时 , 仅 最 先 到 达 的 请 求 成 功 , 其 
他 请 求 失 败 。 另 外 ,管理 者 也 可 以 把 一 个 已 存在 的 行 的 状态 对 象 的 值 由 invalid 改写 为 
valid, 恢 复 旧 行 的 作用 ,这 等 于 产生 了 一 个 新 行 。 

3. 删除 行 

只 有 行 的 所 有 者 才能 发 出 SetRequestPDU ,把 行 状态 值 置 为 invalid(4) ,这 样 就 删除 了 
行 。 这 种 删除 是 否 为 物理 删除 ,取决 于 具体 的 实现 。 

4. 修改 行 

首先 置 行 状态 对 象 的 值 为 invalid(4) ,然后 用 SetRequestPDU 改变 行 中 其 他 对 象 的 值 。 


4.1.4 多 管理 者 访问 


RMON 监视 器 应 允许 多 个 管理 者 并 发 地 访问 , 当 多 个 管理 者 访问 时 可 能 出 现 以 下 
问题 ; 

(1) 多 个 管理 者 对 资源 的 并 发 访问 可 能 超过 监视 器 的 能 力 。 

(2) 一 个 管理 者 可 能 长 时 间 占 用 监视 器 资源 ,使 得 其 他 管理 者 得 不 到 访问 。 

(3) 占用 监视 器 资源 的 管理 者 可 能 出 现 崩溃 ,而 没有 释放 资源 。 

RMON 控制 表 中 列 对 象 Owner 规定 了 表 的 所 属 关系 ,所 属 关 系 有 以 下 用 法 ,可 以 解决 
多 个 管理 者 并 发 地 访问 的 问题 

(1) 管理 者 能 认得 自己 所 属 的 资源 ,也 知道 自己 不 再 需要 的 资源 。 

(2) 网 络 管理 员 可 以 知道 管理 者 占有 的 资源 ,并 决定 是 否 释 放 这 些 资源 。 

(3) 一 个 被 授权 的 网 络 管理 员 可 以 自主 决定 是 否 释放 其 他 网 络 管理 员 的 资源 。 

(4) 如 果 管 理 者 重新 启动 , 它 应 该 首先 释放 不 再 使 用 的 资源 。 

RMON 规范 建议 ,所 属 标志 应 包括 IP 地 址 、 管 理 者 名 、 网 络 管理 员 的 名 字 、 地 点 和 电 
话 号 码 等 ,所 属 标志 不 能 作为 口令 或 访问 控制 机 制 使 用 。 在 SNMP 管理 框架 中 唯一 的 访 
问 控制 机 制 是 SNMP 视 阔 和 团体 名 。 如 果 一 个 可 读 / 写 的 RMON 控制 表 出 现在 某 些 管 
理 者 的 视 阔 中 , 则 这 些 管 理 者 都 可 以 进行 读 / 写 访问 ,但 是 控制 表 行 只 能 由 其 所 有 者 改变 
或 删除 ,其 他 管理 者 只 能 进行 读 访 问 。 这 些 限制 的 实施 已 超出 了 SNMP 和 RMON 的 
范围 。 

为 了 提供 共享 的 功能 ,监视 器 通常 配置 一 定 的 默认 功能 。 定 义 这 些 功 能 的 控制 行 的 
所 有 者 是 监视 器 ,所 属 标志 的 字符 串 以 监视 器 名 打头 ,管理 者 只 能 以 读 方式 利用 这 些 
功能 。 
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4.2 RMON 的 管理 信息 库 


RMON 规范 定义 了 RMON 管理 信息 库 (RMON MIB) , 它 是 MIB-2 下 面 的 16 个 子 树 。 
如 表 4-1 所 示 ,RMON MIB 分 为 10 组 ,存储 在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 
网 中 统计 和 收集 的 数据 。 这 10 个 功能 组 都 是 任 选 的 ,但 实现 时 有 下 列 连带 关系 : 


。 实现 告警 组 


上 时 必须 实现 事件 组 。 


。 实现 HostTopN 台 主 机 组 时 必须 实现 主机 组 。 


。 实现 捕获 组 


功能 组 名 称 


上 时 必须 实现 过 滤 组 。 
表 4-1 
功 能 


RMON v1 MIB 功能 组 


元 素 


统计 量 statistics(1) 


历史 history(2) 


告警 alarm(3) 


主机 host(4) 


HostTopN(5) 


和 矩阵 matrix(6) 


过 滤器 filter(7) 


捕获 包 capture(9) 


包含 一 个 设备 上 的 每 个 监视 接 
口 的 统计 数据 


周期 性 地 从 统计 组 中 获取 统计 
采样 信息 


允许 管理 员 针 对 任何 RMON 代 
理 记录 的 计数 器 变量 或 整 型 变 
量 设 置 采样 间隔 和 报警 阔 值 
包含 网 络 上 发 现 的 与 每 个 主机 
相关 的 统计 值 

包括 了 在 统计 列表 中 排名 大 于 
主机 表 中 设 定 的 某 个 参数 的 主 
机 统计 值 

记录 关于 子 网 上 两 个 主机 之 间 
流量 的 信息 ,该 信息 以 矩阵 形式 
存储 起 来 

允许 监视 器 监听 与 一 过 滤器 相 
匹配 的 数据 包 


数据 包 丢弃 、 数 据 包 发 送 、 广 播 数据 包 、CRC 
错误 、 大 小 块 、 冲 突 以 及 计数 器 的 数据 包 。 范 
围 为 64 一 128、128 一 256、256 一 512、512 一 
1024 以 及 1024 一 1518 字 节 

取样 周期 样品 数目 和 项 目 ,提供 有 关 网 段 流 
量 .错误 包 广播 包 、 利 用 率 以 及 碰撞 次 数 等 
其 他 统计 信息 的 历史 数据 
告警 类 型 间隔、 阔 值 上 限 . 阔 值 下 限 


主机 地 址 .数据 包 、 接 收 字 节 、 传 输 字 节 、 广 播 
传送 等 

统计 值 . 主 机、 周期 的 开始 和 结束 、 速 率 基 值 、 
持续 时 间 


源 地 址 和 目的 地 址 对 ,数据 包 、 字 节 和 每 一 对 
的 错误 


字 节 过 滤器 类 型 .过 滤器 表达 式 等 


数据 包 在 流 过 一 个 信道 之 后 被 
捕获 


捕获 所 有 通过 过 滤器 的 数据 包 或 简单 地 记 下 
基于 这 些 数 据 包 的 统计 


事件 event(9) 


控制 在 此 处 事件 的 产生 和 报告 


事件 类 型 描述、 事件 最 后 一 个 发 送 的 时 间 


令 牌 环 tokenRing(10) 


4.3.1 


支持 令 牌 环 


不 常 使 用 


4.3 RMON v2 管理 信息 库 


RMON v2 MIB 的 组 成 


RMON v2 是 RMON vl 的 扩展 ,可 以 监视 OSI 第 3 一 7 层 的 通信 ,能 够 对 数据 链 路 层 
以 上 的 分 组 进行 译 码 。 这 使 得 监视 器 可 以 管理 网 络 层 协议 ,因而 可 以 了 解 分 组 的 源 地 址 和 


目的 地 址 ,知道 路 由 器 负载 的 来 源 ,使 得 监视 的 范围 扩大 到 局 域 网 以 外 。 监 视 器 也 可 以 监视 
应 用 层 协 议 ,记录 主机 应 用 活动 的 数据 ,并 可 以 显示 各 种 应 用 活动 的 图 表 , 这 对 网 络 管理 来 
说 具有 非常 重要 的 意义 。RMON v2 在 RMON vl MIB 的 基础 上 增加 了 9 个 新 功能 组 ,这 
些 组 的 功能 如 表 4-2 所 示 。 


表 4-2 RMON v2 MIB 新 增 功能 组 


功 能 
协议 目录 是 一 种 简单 的 便于 共同 建立 应 用 程序 、 实 现 RMON 代理 的 途 
径 。 这 对 于 应 用 程序 和 代理 出 自 不 同 的 提供 商 的 情况 尤其 重要 
提供 每 个 协议 产生 的 通信 统计 数据 ,如 发 送 了 多 少 分 组 ,多 少 字 节 等 
MAC 层 的 地 址 与 网 络 层 的 地 址 之 间 的 转换 使 得 读 和 记忆 变 得 容易 。 地 
址 转换 不 仅 为 网 络 管理 者 提供 了 帮助 ,而 且 它 支持 SNMP 管理 平台 并 引 
入 了 改进 的 拓扑 布局 转换 
网 络 层 主机 (IP 层 ) 统 计 值 
在 两 个 地 址 之 间 存储 并 重新 获取 网 络 层 主机 ( IP 层 ) 统 计 值 
应 用 层 主机 统计 值 
在 两 个 地 址 之 间 存 储 并 重新 获取 应 用 层 主机 (IP 层 ) 统 计 值 
这 一 特性 使 网 络 管理 员 能 够 配置 系统 中 的 任何 历史 记录 ,例如 在 指定 文 
件 服务 器 或 路 由 器 对 路 由 器 的 连接 上 的 特殊 历史 
RMON v2 的 这 一 特性 使 某 些 提供 商 的 RMON 应 用 程序 能 够 配置 其 他 提 
供 商 的 RMON 监视 器 


RMON v2 MIB 功能 组 


协议 目录 protocolDir(11) 


协议 分 布 protocolDist(12) 


地 址 映像 addressMap(13) 


网 络 层 主机 nHost(14) 
网 络 层 矩 阵 表 nMatrix(15) 
应 用 层 主机 alHost(16) 
应 用 层 矩 阵 表 alMatrix(17) 


用 户 历 史 usrHistory(18) 


监视 器 配置 probeConfig(19) 


4.3.2 RMON v2 增加 的 功能 


RMON v2 引入 了 两 种 与 对 象 索引 有 关 的 新 功能 : 外 部 对 象 索引 ,时 间 过 滤器 索引 , 增 

强 岂 RMON v2 的 能 力 和 灵活 性 。 
.外 部 对 象 索引 

二 SNMP vl 的 SMI 宏 定义 中 ,没有 说 明 索 引 对 象 是 否 必须 是 被 索引 表 的 列 对 象 ,在 
SNMP v2 的 SMI 中 已 经 明确 指出 可 以 使 用 不 是 概念 表 成 员 的 对 象 作为 索引 项 。 在 这 种 情 
况 下 ,必须 在 概念 行 的 DESCRIPTION 子 句 中 给 出 文字 解释 ,说 明 如 何 使 用 这 样 的 外 部 对 
象 唯一 地 标识 概念 行 实例 。 

采用 了 这 种 新 的 表 结 构 后 ,应 经 常 使 用 外 部 对 象 索引 数据 表 , 以便 把 数据 表 与 对 应 的 控制 
表 结 合 起 来 。 在 rml 表 中 ,数据 表 有 两 个 索引 对 象 ,第 一 个 索引 对 象 rmlDataControlIndex 只 
是 重复 了 控制 表 的 索引 对 象 。 在 rm2 的 数据 表 中 ,这 个 索引 对 象 没 有 了 ,只 剩 下 了 唯一 的 
索引 对 象 rm2DataIndex。 但 是 在 数据 表 的 概念 行 定义 中 说 明了 两 个 索引 rm2ControlIndex 
和 rm2DataIndex, 同 时 在 rm2DatalIndex 的 描述 子 句 中 说 明了 索引 的 结构 。 

例如 要 检索 第 三 行 定义 的 第 50 个 数据 值 , 则 对 象 实例 的 标识 为 rm2DataValue. 3. 50， 
比 RMON vl 的 数据 表 少 一 个 作为 索引 的 列 对 象 。 此 外 ,SNMP v2 的 一 个 文本 约定 为 : 
RMON v2 状态 对 象 的 类 型 用 RowStatus 表示 ,而 不 是 EntryStatus 。 

2. 时 间 过 滤器 索引 

网 络 管理 应 用 需要 周期 地 轮 询 监 视 器 ,以 便 得 到 被 管理 对 象 的 最 新 状态 信息 。 为 了 提 
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高 效率 ,使 用 时 间 过 滤器 索引 ,使 监视 器 每 次 只 返回 那些 自 上 次 查询 以 来 改变 了 的 值 。 
SNMP vl 和 SNMP v2 中 都 没有 直接 解决 这 个 问题 的 方法 。 然 而 RMON v2 的 设计 者 却 给 
出 了 一 种 新 颖 的 方法 ,在 MIB 的 定义 中 实现 了 这 个 功能 ,这 就 是 用 时 间 过 滤器 进行 索引 。 

RMON v2 引入 了 一 个 新 的 文本 约定 : 类 型 为 TimeFilter 的 对 象 专门 用 于 表 索 引 , 其 类 
型 也 就 是 TimeTicks。 这 个 索引 的 用 途 是 使 得 管理 者 可 以 从 监视 器 取得 自从 某 个 时 间 以 来 
改变 过 的 变量 ,这 里 的 时 间 由 类 型 为 TimeFilter 的 对 象 表示 。 


4.4 RMON v2 的 应 用 


4.4.1 协议 的 标识 


任何 一 个 网 络 都 可 能 运行 许多 不 同 的 协议 ,有 些 协 议 是 标准 的 ,有 些 是 专用 于 某 种 特定 
产品 的 。 一 个 网 络 运行 的 各 个 协议 之 间 还 有 复杂 的 关系 ,如 可 能 同时 运行 多 个 网 络 层 协议 
(IP、IPX) ,一 个 IP 有 多 个 数据 链 路 层 协议 的 支持 ,而 TCP 和 UDP 同时 运行 于 IP 之 上 等 。 
在 远程 网 络 监视 中 必须 能 够 识别 各 种 类 型 的 网 络 协议 ,表示 协议 之 间 的 关系 ,RMON v2 提 
供 了 表示 协议 类 型 和 协议 关系 信息 的 标准 方法 。 

RMON v2 用 协议 标识 符 和 协议 参数 共同 表示 一 个 协议 以 及 该 协议 与 其 他 协议 之 间 的 
关系 。 协 议 标 识 符 是 由 字 节 串 组 成 的 分 层 的 树 结构 ,类 似 于 MIB 对 象 组 成 的 树 。RMON 
v2 赋予 每 一 个 协议 层 32 位 的 字 节 串 ,编码 为 4 个 十 进 制 数 ,表示 为 La. b. c. ej 的 形式 ,这 是 
协议 标识 符 树 的 节点 。 如 ,各 种 数据 链 路 层 协 议 被 赋予 下 面 的 字 节 串 ， 


ether2 =1[0.0.0.1] 
lle =2[0.0.0.2] 
snap 一 3[0.0.0.3] 
vsnap =4[0.0.0.4] 
wgAssigned =5[0.0.0.5] 
anylink = [1.0.a.b] 


最 后 的 anylink 是 一 个 通配符 ,可 指 任何 链 路 层 协议 。 有 时 监视 器 可 以 监视 所 有 的 IP 
数据 报 ,而 不 知 它 是 包装 在 什么 链 路 层 协 议 中 ,这 时 可 以 用 anylink 说 明 IP 下面 的 链 路 层 
协议 。 

链 路 层 协 议 字 节 串 是 协议 标识 符 树 的 根 , 下 面 每 个 直接 相连 的 节点 是 链 路 层 协议 直接 支 
持 的 上 层 协 议 ,或 者 说 是 包装 在 数据 链 路 帧 中 的 协议 (通常 情况 下 是 网 络 层 协议 )。 整 个 协议 
标识 符 树 就 是 这 样 逐 级 构造 的 ,如 图 4-2 所 示 , 这 
时 表示 的 是 以 太 网 协议 直接 支持 全 ,UDP 运行 于 
IP 之 上 ,最 后 ,SNMP 报 文 封装 在 UDP 数据 报 中 
传送 ,用 文字 表示 就 是 ether2. ip. udp. snmp。 网 络 层 

RMON v2 的 协议 标识 符 的 格式 如 图 4-3 所 
示 。 开 头 有 一 个 字 节 的 长 度 计 数 段 cnt, 后 续 为 ”传输 层 
各 层 协 议 的 子 标识 符 字段 。 每 层 协议 的 子 标识 
符 都 与 上 述 链 路 层 协 议 字 节 串 相似 ,是 32 位 , 编 ” 应 用 层 snmp[0.0.0.161] 
码 为 4 个 十 进 制 数 。 从 图 4-2 可 以 看 到 赋予 以 图 4-2 协议 标识 符 树 


链 路 层 ”ether2[0.0.0.1] 


ip[0.0.8.0] 


udp[0.0.0.17] 


太 2(Cether2) 协 议 的 字 节 串 是 [0. 0. 0. 1] ,以 太 网 之 上 的 协议 字 节 串 形 式 为 [0. 0. a. bj], 其 中 
a 和 b 是 以 太 2 协议 MAC 帧 中 的 类 型 字段 的 16 位 二 进 制 ,这 16 位 数 用 来 表示 2 型 以 太 网 
协议 支持 的 上 层 ( 网 络 层 ) 协 议 , 以 太 2 规范 为 IP 分 配 的 字 节 串 是 [0.0. 8.0]。 与 此 类 似 , 在 
IP 头 中 的 16 位 协议 号 表示 IP 支持 上 层 协 议 ,IP 标准 为 UDP( 传 输 层 ) 分 配 的 编号 是 17。 
UDP 为 SNMP( 应 用 层 ) 分 配 的 端口 号 为 111。 这 样 4 层 协议 的 字 节 串 级 联 起 来 ,前 面 加 上 
16 表示 长 度 ,就 形成 了 完整 的 SNMP 协议 标识 符 : 


16.0.0.0.1.0.0.8.0.0.0.0.17.0.0.0.161 


cnt 协议 标识 符 cnt 协议 参数 
(a) 一 般 格式 
协议 标识 符 协议 参数 


Vr 


协议 L2 | 协议 L3 | 协议 L4 | 协议 L5 | cnt | 参数 L2 | 参数 L3 | 参数 L4 | 参数 L5 


cnl 


(b) 4 层 协议 格式 
图 4-3 协议 标识 符 和 协议 参数 的 格式 


应 该 强调 的 是 : 对 监视 器 能 解释 的 每 个 协议 都 必须 有 一 个 协议 标识 符 。 假 如 有 个 监视 
器 可 以 识别 以 太 2 帧 IP 和 UDP 数据 报 , 以 及 SNMP 报 文 , 则 RMON v2 MIB 中 必须 记录 
以 下 4 个 协议 标识 符 : 
ether2(4.0.0.0.1) 
ether2.ip(8.0.0.0.1.0.0.8.0) 
ether2.ip.udp(12.0.0.0.1.0.0.8.0.0.0.0.17) 
ether2.ip.udp.snmp(16.0.0.0.1.0.0.8.0.0.0.0.17.0.0.0.161) 
从 图 4-3 中 可 以 看 出 协议 参数 的 格式 ,长 度 计 数字 段 cnt 后 跟 各 层 协 议 的 参数 。 参 数 
的 每 一 个 比特 定义 了 一 种 能 力 。 例 如 ,最低 两 比特 的 含义 如 下 : 
。 比特 0 一 一 表示 人 允许 上 层 协 议 UDP 分 段 。 如 果 上 层 报 文 可 以 分 成 若干 IP 数据 报 传 
送 , 则 IP 层 的 参数 比特 0 为 1。 
。 比特 1 一 一 表示 可 以 为 上 层 协议 指定 端口 号 。 如 TFTP 协议 ,其 专用 端口 号 是 
69。 如 果 上 层 用 户 进程 向 端口 69 请 求 连接 ,TFTP 进程 响应 用 户 请 求 ,派生 出 一 
个 临时 进程 ,并 为 其 分 配 临 时 端口 号 ,返回 用 户 进程 ,用 户 就 可 以 用 TFTP 传送 文 
件 下 
现在 可 以 把 上 例 中 的 协议 标识 符 加 上 协议 参数 。 如 果 表 示 IP 之 上 的 协议 UDP 可 以 分 
段 传送 , 则 协议 标识 符 和 协议 参数 串 如 下 : 


16.0.0.0.1.0.0.8.0.0.0.0.17.0.0.0.161.4.0.1.0.0 


4.4.2 协议 目录 表 


RMON v2 的 协议 目录 表 的 结构 如 图 4-4 所 示 , 其 中 的 协议 标识 符 protocolDirID(1) 和 
协议 参数 protocolDirParameters(2) 作 为 表 项 的 索引 ,另外 还 为 每 个 表 项 指定 了 一 个 唯一 的 
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索引 protocolDirLocalIndex(3) ,可 由 RMON v2 的 其 他 组 引用 该 表 项 ,其 他 变量 的 功能 为 : 
。 protocolDirDesc(4) : 关于 该 协议 的 文字 描述 。 
。 protocolDirType(5): 协议 类 型 是 可 扩展 的 ,如 果 表 中 生成 一 个 新 项 , 则 所 表示 的 是 
该 协议 的 孩子 。 协 议 类 型 是 具有 地 址 识别 能 力 的 ,如 果 监 视 器 可 以 区 别 源 地 址 和 目 
标 地 址 , 则 分 别 对 源 和 目标 计数 。 
protocolDirAddressMapConfig(6): 表示 协议 是 否 支持 (网 络 层 对 数据 链 路 层 ) 地 址 
映像 。 
。 protocolDirHostConfig(7): 与 网 络 层 和 应 用 层 主机 表 有 关 。 
。 protocolDirMatrixConfig(8): 与 网 络 层 和 应 用 层 和 矩阵 表 有 关 。 
protocolDirOwner(9): 目录 的 拥有 者 。 
protocolDirStatus(10): 目录 的 状态 。 


protocolDir(rmon11) 

| 一 protocolDirLastChange(1) 

-一 protocolDirTable(2) 
protocolDirEntry(1) 


|- protocolDirID(1) 

| protocolDirParameters(2) 

|- protocolDirLocallndex(3) 

|- protocolDirDesc(4) 

|- protocolDirType(5) 

| protocolDirAddressMapConfig(6) 
|- protocolDirHostConfig(7) 

|- protocolDirMatrixConfig(8) 

|- protocolDirOwner(9) 


上- protocolDirStatus(10) 


图 4-4 协议 目录 表 结 构 


4.4.3 用 户 定义 的 数据 收集 机 制 


关于 历史 数据 收集 ,在 RMON vl 中 是 预先 定义 的 ,在 RMON v2 中 可 以 由 用 户 自己 定 
义 。 历 史 收 集 组 规定 了 定义 历史 数据 的 方法 。 

历史 收集 组 由 3 级 表 组 成 ,第 一 级 是 控制 表 usrHistoryControlTable, 这 个 表 说 明了 一 
种 采样 功能 的 细节 (采样 的 对 象 数 .采样 区 间 数 和 采样 区 间 长 度 等 ) , 它 的 一 行 定 义 了 下 一 级 
的 一 个 表 。 第 二 级 是 用 户 历史 对 象 表 usrHistoryObjectTable, 它 也 是 一 个 控制 表 , 说 明 采 
样 的 变量 和 采样 类 型 ,该 表 的 行 数 等 于 上 一 级 表 定 义 的 采样 对 象 数 。 第 三 级 表 
usrHistoryTable 才 是 历史 数据 表 , 该 表 由 第 二 级 表 的 一 行 控制 ,记录 着 各 个 采样 变量 的 值 
和 状态 ,以 及 采样 间隔 的 起 止 时 间 ,用 户 历史 收集 组 如 图 4-5 所 示 。 


usrHistory(rmon18) 
| 一 usrHistoryControlTable(1) 
usrHistoryControlEntry(1) 
| 一 usrHistoryControlIndex(1) 
| 一 usrHistoryControlObject(2) 
| 一 usrHistoryControlBucketsRequests(3) 
| 一 usrHistoryControlBucketsGranted(4) 
[一 usrHistoryControlInterval(5) 
| 一 usrHistoryControlOwner(6) 
[一 usrHistoryControlStatus(7) 
[一 usrHistoryObjectTable(2) 
usrHistoryObjectEntry(1) 
| 一 usrHistoryObjectIndex(1) 
| 一 usrHistoryObjectVariable(2) 
一 usrHistoryObjectSampleType(3) 


一 usrHistoryTable(3) 

usrHistoryEntry(1) 
| usrHistorySamplelndex(1) 
| 一 usrHistoryIntervalStard(2) 
[一 usrHistoryIntervalEnd(3) 
| 一 usrHistoryAbsValue(4) 


— usrHistoryValStatus(5) 


图 4-5 历史 收集 组 


4.4.4 监视 器 的 标准 配置 法 


为 了 增强 管理 者 和 监视 器 之 间 的 互 操作 性 ,RMON v2 在 监视 器 配置 组 中 定义 了 远程 
配置 监视 器 的 标准 化 方法 。 这 个 组 由 一 些 标量 对 象 和 4 个 表 组 成 ,这 些 标量 对 象 如 下 : 

。 probeCapabilities 说 明 支 持 哪 些 RMON 组 。 

。 probeSoftwareRev 一 一 监视 器 的 软件 版 本 。 
监视 器 的 硬件 版 本 。 
。 probeDataTime 一 一 监视 器 的 日 期 和 时 间 。 
可 以 取 不 同 的 值 ,表示 运行 、 热 启动 或 冷 启动 等 。 
。 probeDownloadFile 一 一 自 举 配置 文件 。 
。 probeDownloadTFTPServer 自 举 配置 文件 所 在 的 TFTP 服务 器 地 址 。 
若 取 值 imageValid (1), 则 继续 运行 ， 若 取 值 
downloadToPROM(2) 或 downloadRAM(3), 则 重启 动 , 装 入 另外 一 个 应 用 程序 。 
表示 不 同 的 运行 状态 。 

监视 器 配置 组 中 的 4 个 表 是 串 行 配置 表 、 网 络 配置 表 、 陷 人 定义 表 和 串 行 连接 表 。 串 行 
配置 表 (serialConfigTable) 用 于 定义 监视 器 的 串 行 接 口 , 它 包含 下 列 变 量 : 
连接 模式 可 以 是 直接 连接 或 通过 调制 解 调 器 连接 。 


。 probeHardwareRev 


。 probeResetControl 


。 probeDownloadAction 


。 probeDownloadStatus 


。 serialMode 
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。 serialProtocol 一 一 数据 链 路 层 协议 可 以 是 SLIP 或 其 他 协议 。 

。 serialTimeout 一 一 终止 连接 之 前 等 待 的 秒 数 。 

用 于 初始 化 Modem 的 控制 字符 串 。 

断 开 Modem 连接 的 控制 字符 串 。 

描述 Modem 响应 代码 和 数据 速率 的 ASCII 串 。 
由 Modem 产生 的 报告 连接 失效 的 ASCII 串 。 
拨 出 等 待 时 间 。 

描述 串 行 配置 表 当前 状态 的 字符 串 。 

网 络 配置 表 (CnetConfigTable) 用 于 定义 监视 器 的 网 络 接口 , 它 包 含 下 列 变量 : 
接口 的 IP 地 址 。 

子 网 掩 码 。 

。 netDefaultGateway 默认 网 关 的 IP 地 址 。 

陷 人 定义 表 (trapDestTable) 定 义 了 陷 和 人 的 目标 地 址 等 有 关 信 息 , 它 包含 的 变量 如 下 
行 的 索引 。 

。 trapDestCommunity 一 一 接收 陷入 的 团体 名 。 


。 serialModemlInitiString 


。 serialModemHangUpString 


。 serialModemConnectResp 


。 serialModemNoconnectResp 


。 serialDialoutTimeout 


。 serialStatus 


。 netConfigIpAddress 


。 netConfigSubnet Mask 


。 trapDestIndex 


。 trapDestProtocol 传人 陷入 报 文 的 协议 。 
。 trapDestAddress 接收 陷入 站 的 地 址 。 
。 trapDestOwner 陷入 目标 的 拥有 者 。 


。， trapDestStatus 陷入 目标 的 当前 状态 。 
串 行 连接 表 (serialConnectionTable) 存 储 与 管理 者 建立 SLIP 连接 需要 的 参数 ,其 中 有 
下 列 变量 : 


»。 serialConnectIndex 


行 索引 。 
。 serialConnectDestIpAddress 


SLIP 连接 的 IP 地 址 。 
可 分 为 direct (1)、modem(2)、switch(3)、modemSwitch(4) 


。 serialConnectType 
共 4 种 类 型 。 

。 serialConnectDialString 一 一 控制 建立 Modem 连接 的 字符 串 。 

控制 建立 数据 交换 连接 的 字符 串 。 

。 serialConnectSwitchDisconnectSeq 一 一 控制 终止 数据 交换 连接 的 字符 串 。 

使 数据 交换 连接 复位 的 字符 串 。 

。 serialConnectOwner 一 一 描述 串 行 连接 表 拥 有 者 的 字符 串 。 

描述 串 行 连接 表 当 前 状态 的 字符 串 。 


。， serialConnectSwitchConnectSeq 


。 serialConnectSwitchResetSeq 


。 serialConnectStatus 
4.5 本 章 小 结 


本 章 首先 介绍 了 RMON 的 基本 概念 ,然后 分 别 介 绍 了 RMON vl 和 RMON v2 的 
MIB, 最 后 介绍 了 RMON v2 的 应 用 。 需 要 掌握 RMON 的 概念 ,作用 和 功能 ,以 及 RMON 
中 典型 操作 的 原理 。 

RMON 最 初 的 设计 是 用 来 解决 从 一 个 中 心 点 管理 各 局 域 分 网 和 远程 站 点 的 问题 ,用 于 
监视 整个 网 络 通信 情况 。RMON 是 对 SNMP 的 补充 ,扩充 了 SNMP 的 MIB-2, 基 于 


RMON 协议 的 设备 称 为 网 络 监视 器 或 网 络 分 析 器 、 探 测 器 等 。RMON 提供 了 一 种 高 效 、 低 
成 本 的 网 络 监视 方案 。 


习 题 4 
一 、 选 择 题 
1. 在 RMON 规范 中 增加 了 两 种 新 的 数据 类 型 ,它们 分 别 是 ( 。  ”)。 
A. createRequest B. underCreation 
C. EntryStatus D. OwnerString 
2. RMON vl 监视 OSI 第 1.2 层 的 通信 ,而 RMON v2 监视 OSI( ”) 的 通信 。 
A. 第 3~7 层 B. 第 7 层 
C. 第 4~7 层 D. 第 3 一 4 层 


3. RMON v2 在 监视 器 配置 组 中 定义 了 远程 配置 监视 器 的 标准 化 方法 。 这 个 组 由 一 些 
标量 对 象 和 4 个 表 组 成 ,下 列 选项 中 不 是 其 中 的 表 的 是 ( js 
A. 网 络 配置 表  ”B. 串 行 配置 表  C. 陷入 定义 表  D. 并 行 配置 表 
4. RMON 是 对 ( ) 标 准 的 重要 补充 。 
A. SNMP B. SMTP C. UDP D. ICMP 
5. RMON v2 监视 器 配置 组 中 ,存储 与 管理 者 建立 SLIP 连接 参数 的 是 ( ) 
A. 串 行 配置 表 ”B. 网 络 配置 表  C. 陷入 定义 表  D. 串 行 连 接 表 
6. 通常 用 于 监视 整个 网 络 ( ) 情 况 的 设备 称 为 网 络 监视 器 或 网 络 分 析 器 \ 探 测 
器 等 。 
A. 通信 B. 差错 率 C. 传输 率 D. 管理 
二 、 简 答题 
1. 什么 是 RMON? 为 什么 需要 RMON? 
2. 远程 网 络 监视 的 目标 是 什么 ? 
3. RMON 是 如 何 解决 多 个 管理 者 并 发 访问 问题 的 ? 
4. RMON v2 增加 了 哪些 功能 ? 
5. RMON v2 如 何 表 示 协 议 间 的 关系 ? 
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网 络 是 由 网 络 设备 搭建 起 来 的 ,网 络 设备 的 稳定 性 直接 决定 了 网 络 的 性 能 ,影响 业务 的 
开展 。 而 网 络 设备 的 正确 配置 是 应 用 的 前 提 , 网 络 设备 的 有 效 管理 是 应 用 效率 和 效益 的 保 
证 。 本 章 将 主要 介绍 基于 Windows Server 2003 服务 的 配置 与 管理 ,以 及 交换 机 、 路 由 器 等 
主要 网 络 设备 的 配置 与 管理 。 


5.1 服务 器 管理 


5.1.1 Web 服务 器 管理 


1. 域 控制 器 的 配置 

Windows Server 2003 中 的 域 是 网 络 中 的 一 个 逻辑 单位 ,分 为 根 域 和 子 域 ,每 个 域 由 一 个 
或 多 个 域 控制 器 管理 。 域 控制 器 是 域 中 的 管理 计算 机 ,包含 了 由 域 的 账户 密码、 属于 这 个 域 
的 计算 机 等 信息 构成 的 数据 库 ,负责 对 整个 Windows 域 以 及 域 中 的 所 有 计算 机 进行 管理 。 

在 Windows Server 2003 中 , 域 中 所 有 的 域 控制 器 都 是 平等 的 关系 。 在 网 络 中 创建 第 
一 个 域 控制 器 的 同时 ,也 创建 了 第 一 个 域 .第 一 个 域 林 和 第 一 个 站 点 ,并 安装 了 Active 
Directory , 域 控制 器 的 配置 过 程 如 下 : 

(1) 依次 单 击 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”>“ 配 置 您 的 服务 器 向 导 ”, 然 后 单 击 “ 下 一 
步 " 按 钮 。 

(2) 在 出 现 的 对 话 框 的 “配置 选项 ”中 选中 “第 一 台 服 务 器 的 典型 配置 " 单 选 按 钮 ,然后 
单 击 “ 下 一 步 "按钮 。 

(3) 在 “Active Directory 域名 ”对 话 框 中 输入 标准 格式 的 域 ,如 图 5-1 所 示 。 

(4) 配置 “DNS 转发 查询 ”, 检 查 “ 选 择 总 结 ” ,无 误 后 单 击 “ 下 一 步 ” 按 钮 , 即 完 成 域 控 制 
器 的 配置 。 

2. JIS 的 配置 

Web 服务 器 的 建立 需要 IIS 组 件 的 支撑 ,如 果 该 组 件 没有 安装 , 则 按 如 下 步骤 添加 

在 “控制 面板 ”中 选择 “添加 /删除 程序 ”>“ 添 加 /删除 组 件 ”, 在 打开 的 对 话 框 中 选择 “应 
用 程序 服务 器 ”; 单 击 “ 详 细 信 息 ” 按 钮 ,选中 “Internet 信息 服务 (IIS)”, 如 图 5-2 所 示 ; 然后 
单 击 “ 确 定 ” 按 钮 完成 IIS 的 安装 。 

3. 网 站 的 建立 

(1) 将 要 发 布 的 网 站 的 内 容 ( 本 例 为 主页 homepage. txt) 复 制 到 一 个 指定 的 目录 下 ( 默 
认为 C: \Inetpub\wwwroot, 建 议 更 改 )。 

(2) 打开 如 图 5-3 所 示 的 IIS 管理 器 窗口 。 


完整 的 DIE 名 称 示例 : snallbusiness local 


在 悠 的 hctive Directory 城 名 结尾 使 用 一 个 “. local” 扩展， 可 以 确保 您 的 内 部 城 保持 与 
Internet 域 分 开 。 


《上 -上 四 [sm 让 mw | wy | 
图 5-1 输入 域名 
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应用 程序 服务 器 的 子 组 件 CC); 


回 区 应 用 程序 服务 器 控制 台 00mB = 


描述 ， ITS 包括 Web，FTP ,SNTP 和 NT 支持， 以 及 对 FrontPage Server 
Extansion PM Active Server Pags USF) a pe 


Internet 信息 服务 
瑟 虽 JACKI00 [本 地 计算 机 ) 
由 二] 应 用 程序 池 
日 本 

回 -名 默认 网 站 
田 -也 Yeb 服务 扩展 


[ 
图 5-3 JS 管理 器 窗口 


(3) 在 “网 站 ”上 单 击 鼠 标 右键 ,在 出 现 的 快捷 菜单 中 选择 “新 建 *>“ 网 站 ”命令 ,打开 
“网 站 创建 向 导 ” 对 话 框 ; 单 击 下 一 步 "按钮 后 输入 网 站 描述 的 内 容 。 
(4) 继续 单 击 “下 一 步 ?按钮 ,打开 如 图 5-4 所 示 的 对 话 框 ,在 “网 站 IP 地 址 "下拉 列表 框 
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中 选择 该 网 站 的 IP 地 址 ; 在 “网 站 TCP 端口 "文本 框 中 输入 端口 号 (默认 值 为 80);“ 此 网 
站 的 主机 头 ” 可 以 根据 实际 情况 填写 。 


到 
IP 地 址 和 莹 口 设 置 £3 
指定 新 网 站 的 IP 地 址 ,端口 设置 和 主机 头 。 SH 
网 站 IP 地 址 到): 
192. 168. 215. 100 - 


网 站 TCF 端口 匠 认 值 : 80) (0); 


此 网 站 的 主机 头 鞠 认 : 无 ) 由 : 


有 关 更 多 信息 ， 请 参阅 ITS 产品 文档 。 
《上 一 步 中 取消 


图 5-4 “IP 地 址 和 端口 设置 ?对话 框 


(5) 单 击 “下 一 步 ? 按 钮 ,在 打开 的 对 话 框 的 “路 径 ” 文 本 框 中 输入 或 通过 "浏览 ?按钮 添 
加 要 发 布 网 站 的 路 径 , 并 选中 “允许 匿名 访问 网 站 " 复 选 框 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 对 话 框 中 ,对 该 网 站 的 访问 权限 进行 适当 的 设置 。 然 
后 单 击 “ 下 一 步 ” 按 钮 ,完成 网 站 的 创建 。 

(7) 在 已 经 建立 的 网 站 上 单 击 鼠 标 右键 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”, 然 后 在 出 现 
的 对 话 框 中 打开 “文档 ”选项 卡 ,选择 “启用 默认 内 容 文 档 " 复 选 框 ,这 时 发 现 系统 默认 的 文档 
中 并 没有 用 户 自己 事先 建立 的 主页 homepage. txt。 

(8) 单 击 “ 添 加 ”按钮 ,在 出 现 的 对 话 框 中 ,输入 要 添加 的 文档 homepage. txt。 

(9) 单 击 “ 确 定 ” 按 钮 ,这 时 发 现 新 添加 的 文档 会 显示 在 默认 文档 的 最 后 一 行 。 由 于 
Web 服务 器 响应 客户 端的 请 求 时 会 在 默认 文档 的 最 前 面 逐 次 尝试 ,为 了 加 快 该 网 站 的 响应 
速度 ,最 好 把 homepage. txt 文档 移动 到 最 前 面 ,如 图 5-5 所 示 。 

aa 


目录 安全 性 JITF 头 自 定义 错误 
网 站 | 。 性 能 | 。 IsApT 第 沈 器 。 | 。 主 目录 文档 
局 用 默认 内 容 文档 C) 


Defaul thtn 加 .| 

Dafanlt asp 

index. htm 删除 到 ) 
EV | _ ww | 


启用 文档 页 脚 @) 
人 NL 格式 的 页 脚 到 | 娩 的 Yeb 服务 器 返回 的 每 一 个 文 


FF Mo 


Cm |] ws | maw | ww | 


图 5-5 “文档 "选项 卡 


(10) 单 击 “* 确 定 ?按钮 ,完成 网 站 的 配置 。 在 客户 机 的 IE 浏览 器 中 输入 http://192. 
168. 215. 100 后 , 即 可 打开 该 网 站 的 主页 ,如 图 5-6 所 示 。 


下 http: //192. 168. 215. 100/ - Microsoft Internet Ezplorer 


文件 时) 编辑 区) 查看 @) 收藏 和 工具 CD) 帮助 0) 
加 恨 - 则 -四 畏 多 | 站 扫 雪 冯 收 藏 天 鱼 | 中- 总 已 口 蕊 
地 址 四 ) 同 http://192. 168. 215. 100/ 


这 是 一 个 测试 


图 5-6 测试 主页 


4. 虚拟 主机 管理 

所 谓 虚 拟 主机 ,就 是 把 一 台 服 务 器 划分 成 多 个 “虚拟 ”的 服务 器 ,每 一 个 虚拟 主机 都 具有 
独立 的 域名 和 完整 的 服务 器 (支持 WWW、FTP、E-mail 等 ) 功 能 。 一 台 服 务 器 上 的 不 同 虚 
拟 主机 是 各 自 独立 的 ,并 由 用 户 自 行 管理 。 在 外 界 看 来 ,每 一 台 虚 拟 主机 和 一 台独 立 的 主机 
完全 一 样 。 

要 确保 用 户 的 请 求 能 到 达 正 确 的 网 站 ,必须 为 服务 器 上 的 每 个 站 点 配置 唯一 的 标识 。 
要 执行 此 操作 ,必须 至 少 使 用 三 个 唯一 标识 符 ( 主 机 头 名 称 、IP 地 址 和 唯一 TCP 端口 号 ) 中 
的 一 个 来 区 分 每 个 网 站 。 通 过 更 改 这 三 个 标识 符 中 的 一 个 ,可 以 为 多 个 网 站 创建 唯一 的 标 
识 , 而 无 须 为 每 个 站 点 安装 一 个 专用 的 服务 器 。 也 可 以 为 每 个 站 点 创建 唯一 的 主 目录 并 且 
将 内 容 存 储 在 本 地 服务 器 或 远程 网 络 上 ,这 样 ,每 个 网 站 都 将 作为 一 个 虚拟 服务 器 。 在 一 台 
服务 器 上 宿主 多 个 网 站 可 以 节约 硬件 资源 、 节 省 空间 和 降低 能 源 成 本 。Windows Server 
2003 可 以 采用 三 种 方式 建立 Web 虚拟 主机 。 

1) 使 用 多 个 IP 地 址 创建 多 个 站 点 

一 些 安全 服务 器 配置 要 求 在 同一 台 服务 器 上 使 用 唯一 IP 地 址 来 区 分 每 个 站 点 。 若 想 
在 同一 台 服 务 器 上 使 用 多 个 IP 地 址 来 区 分 不 同 的 站 点 , 则 必须 配置 IIS 来 给 每 个 站 点 指派 
唯一 的 IP 地址。 配置 方法 如 下 : 

(1) 依次 单 击 “ 开 始 ” 一 “控制 面板 ”>“ 网 络 连 接 ”>“ 本 地 连接 ”, 然 后 单 击 “ 属 性 ”打开 
“本 地 连接 属性 ”面板 。 

(2) 选择 “Internet 协议 (TCP/IP)”, 单 击 “ 属 性 ”打开 “Internet 协议 (TCP/IP) 属 性 ”对 
话 框 , 单 击 下 方 的 “高 级 ”按钮 打开 “高 级 TCP/IP 设置 ?对 话 框 , 可 以 发 现 IP 地 址 栏 中 列 出 
了 已 设 定 的 IP 地 址 和 子 网 掩 码 。 

(3) 单 击 “ 添 加 ”按钮 ,在 弹出 的 对 话 框 中 添加 新 的 IP 地 址 , 子 网 掩 码 与 原 有 的 相同 。 
然后 依次 单 击 “ 确 定 ” 按 钮 ,就 完成 了 多 个 IP 地 址 的 绑 定 。 

(4) 用 前 面 介绍 的 方法 建立 网 站 ,各 个 网 站 分 别 选择 不 同 的 IP 地 址 ,网 站 TCP 端口 采 
用 默认 值 *“80”, 网 站 的 主机 头 采 用 默认 值 “无 ”。 
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2) 使 用 主机 头 名 创建 多 个 站 点 

一 般 的 Web 服务 器 一 个 IP 地 址 的 80 端口 只 能 对 应 一 个 网 站 ,处 理 一 个 域名 的 访问 请 
求 。 在 不 使 用 多 个 IP 地 址 和 端口 的 情况 下 ,如果 要 支持 多 个 相对 独立 的 网 站 就 需要 一 种 机 
制 来 分 辩 同 一 个 IP 地 址 上 的 不 同 网 站 的 请 求 , 这 就 是 主机 头 绑 定 的 方法 。 
主机 头 可 以 理解 为 每 个 网 站 的 描述 性 名 称 , 一 台 服 务 器 上 宿主 多 个 网 站 的 方法 通常 使 
用 主机 头 ,这 是 因为 此 方法 可 以 节省 IP 地 址 资源 。 配 置 方法 如 下 : 

(1) 要 使 用 主机 头 法 必须 先进 行 DNS 设置 ,设置 方法 详 见 5. 1. 2 节 。 

(2) 建立 网 站 ,其 中 TCP 端口 保持 默认 的 80 不 变 ,此 站 点 的 主机 头 ”一 项 要 填 上 该 网 
站 的 域名 ,如 图 5-7 所 示 。 接 着 进行 主 目录 选 定 .访问 权限 设置 等 操作 ,完成 站 点 的 设置 ,并 
用 同样 的 方法 建立 其 他 网 站 。 


JI? 地 址 和 端口 设置 
指定 新 网 站 的 IF 地 址 ,端口 设置 和 主机 头 。 


网 站 IP 地 址 E); 


192. 165. 215. 100 可 


网 站 TCP 端口 菊 认 值 : 80) CD) : 
ao 


此 网 站 的 主机 头 与 认 : 无 ) 00; 


[mm test02. ec 


有 关 更 多 信息 ,请 参阅 ITS 产品 文档 。 


《上 一 步 @) [下 - 步 中 ?] 取消 


图 5-7 主机 头 设置 


(3) 对 已 经 建立 好 的 网 站 ,可 以 通过 修改 来 配置 主机 头 信息 。 在 网 站 属性 对 话 框 中 单 
击 “ 高 级 "按钮 ,打开 如 图 5-8 所 示 的 “高 级 网 站 标识 ”对话 框 。 


加 
三 此 网 站 的 多 个 标识 岂 ) 


[192.168.215.100 80 


se | sw | 

此 网 站 的 多 个 5L 标识 人 
还 地 址 S55L 端口 
ET BO | ESG 


确定 取消 | am | 


图 5-8 “高 级 网 站 标识 ”对 话 框 


(4) 单 击 “ 添 加 ”按钮 ,打开 如 图 5-9 所 示 的 “添加 /编辑 网 站 标识 ”对 话 框 ,在 其 中 添加 


本 的 全 名 二 各 加 
3) 使 用 端口 号 创建 多 个 站 点 二 


通过 同一 个 IP 地 址 绑 定 不 同 端口 号 的 方法 也 | 于 地 tm: |e eszsim 习 
可 以 建立 多 个 站 点 。 标 准 网 站 默认 的 TCP 端口 号 “| 还 ao 名 
为 80 ,如果 使 用 非 标准 TCP 端口 号 来 标识 网 站 ,用 | Ba [ee | 
户 访问 站 点 时 就 必须 知道 指派 给 该 网 站 的 端口 号 ， CJ _w 条 助 四 
并 需要 把 这 个 端口 号 附加 在 网 站 的 名 称 或 IP 地 址 
之 后 ,如 http://192. 168. 215. 100: 8080。 操 作 方 图 5-9 “添加 /编辑 网 站 标识 ”对 话 框 
法 可 以 在 上 面 的 基础 上 进行 修改 ,如 图 5-10 所 示 。 


BE 
目录 安全 性 “| HTTP 头 ，| 。 自 定义 错误 “| Server Extensions 2002 
网 SWS | 性 能 ”| ISkPT 名 法 器 | 主 上 录 | 文档 
网 站 标识 


描述 G): Fw testD1.com 
IP 地 址 区 ): 192. 168. 215. 100 了 
TCF 端口 0); Fa SSL 讽 口 加 ): 

连接 
连接 超时 0D ; 120 秽 


末 保持 MTTF 连接 I) 


并 局 用 日 志 记 录 到 ) 
活动 日 志 格 式 o) 


|Y5C 扩展 日 志文 件 格式 了 属性 @)... 


图 5-10 端口 配置 对 话 框 


5. 虚拟 目录 管理 

1) 虚拟 目录 概述 

Internet 服务 可 以 从 多 个 目录 发 布 ,通过 通用 命名 约定 名 (UNC) 、 用 户 名 及 用 于 访问 权 
限 的 密码 指定 目录 ,可 将 每 个 目录 定位 在 本 地 驱动 器 或 网 络 上 。 通 常 ,服务 器 可 拥有 一 个 宿 
主 目 录 和 任意 数量 的 其 他 发 布 目录 ,其 他 发 布 目录 称 为 虚拟 目录 。 

虚拟 目录 是 相对 于 IIS 的 根 目录 来 说 的 ,一 个 站 点 的 根 目录 只 能 有 一 个 ,为 了 能 使 多 个 
Web 服务 运行 于 同一 个 IIS 服务 器 上 ,就 需要 为 其 虚拟 一 个 IIS 目录 。 每 个 虚拟 目录 受 控 
于 根 目录 的 管理 ,有 其 特定 的 管理 权限 ,也 可 以 继承 根 目 录 的 权限 设置 。 每 个 虚拟 目录 的 程 
序 有 其 相对 隔离 的 进程 运行 空间 ,保证 了 程序 的 安全 运行 。 当 然 , 每 个 虚拟 目录 都 是 指向 物 
理 磁盘 中 的 绝对 路 径 的 ,而 虚拟 目录 指向 的 绝对 路 径 可 以 是 任意 的 。 

2) 虚拟 目录 配置 

(1) 打开 “Internet 信息 服务 (IIS) 管 理 器 窗口; 选中 “站 点 ”, 右 击 后 用 鼠标 左 键 单 击 
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“新 建 ”>“ 虚 拟 目 录 ” 命 令 , 如 图 5-11 所 示 ; 打开 “虚拟 目录 创建 向 导 ” 对 话 框 , 单 击 “ 下 一 
步 " 按 钮 。 


二 加 xx| 


辕 Internet 信息 服务 (IIS) 管 理 器 
各 文 件 @。 换 作 他 ”查看 WD 窗口 是 帮助 中 
所 六 | 四 | 困 | 关 某国 加 | 国 | 昱 | 上 里 1 


Internet 信息 服务 
日 葡 TomcAT-471TMQET (tit | developer 


加 -加 应 用 程序 池 Ben 
日 最 网 站 horto 
em 
司 ”资源 管理 器 加 
。 打开 外 
田 -权限 加 ) i 
日 。 浏览 加 a 
图 
3 
由 停止 @) 
日 。 暂停 的 
中 全 WwW 
EEC 
四 所 有 任务 四 
Yeb ER 
机电 贡生 三 加 
dD 
草 除 四 ) 


刷新 于) 
认 此 容器 中 们 隘 。 导出 列表 00. 
图 5-11 “Internet 信息 服务 (IIS) 管 理 器 "窗口 


(2) 在 如 图 5-12 所 示 的 “虚拟 目录 别名 ”对 话 框 中 ,输入 所 要 创建 的 虚拟 目录 的 别名 ， 
单 击 “ 下 一 步 " 按 钮 。 


到 
虚拟 目录 别名 地 


为 虚拟 目录 指定 一 个 短 名 称 或 别名 。 


入 的 向 靖 交 人 Yeb 虚拟 目录 访问 权限 的 别名 。 使 用 的 命名 规则 应 与 目录 命名 


别名 的: 


[bm-test 


《上 一 步 @) 取消 


图 5-12 “虚拟 目录 别名 ”对 话 框 


(3) 在 “网 站 内 容 目 录 ” 对 话 框 的 “路 径 ” 文 本 框 中 输入 目录 的 物理 路 径 , 或 通过 “浏览 ” 
按钮 定位 目录 的 物理 路 径 。 

(4) 在 “虚拟 目录 访问 权限 "对话 框 中 ,设置 虚拟 目录 的 适当 权限 ,从 安全 性 考虑 通常 建 
议 只 允许 “ 读 取 ”和 “浏览 ”。 


(5) 单 击 “ 完 成 ? 按 扭 完 成 虚拟 目录 的 设置 。 这 时 可 以 看 到 在 “默认 站 点 ”里 多 了 一 个 虚 
拟 目 录 及 该 目录 中 的 文件 。 虚 拟 目录 可 以 隐 含 物理 目录 ,从 而 提高 目录 的 安全 性 。 对 虚拟 
目录 的 访问 如 同 访问 实际 目录 一 样 , 只 要 在 浏览 器 的 地 址 栏 中 输入 IP 地 址 或 域名 即 可 打开 
Web 站 点 下 的 虚拟 目录 。 


5.1.2 DNS 服务 器 管理 


1. 安装 DNS 服务 器 

默认 情况 下 Windows Server 2003 系统 中 并 没有 安装 DNS 组件, 必须 自己 安装 ,方法 如 下 : 

(1) 依次 单 击 “开始 ”一 “管理 工具 -配置 您 的 服务 器 向 导 ”, 在 打开 的 对 话 框 中 单 击 
“下 一 步 ”按钮 。 配 置 向 导 自 动 检测 所 有 网 络 连 接 的 设置 情况 , 若 没有 发 现 问题 则 进入 “服务 
器 角色 ”对 话 框 。 

(2) 在 “服务 器 角色 ?列表 中 单 击 ^DNS 服务 器 "选项 ,并 单 击 “ 下 一 步 " 按 钮 。 打 开 “ 选 
择 总 结 ” 对 话 框 ,如 果 列 表 中 出 现 “ 安 装 DNS 服务 器 "和 “运行 配置 DNS 服务 器 向 导 来 配置 
DNS”, 则 直接 单 击 “ 下 一 步 " 按 钮 。 

(3) 向 导 开 始 安 装 DNS 服务 器 ,并 且 可 能 会 提示 插入 Windows Server 2003 的 安装 光 
盘 或 指定 安装 源 文件 。 

2. 创建 区 域 

DNS 服务 器 安装 完成 以 后 会 自动 打开 “配置 DNS 服务 器 向 导 ” 对 话 框 ,用 户 可 以 在 该 
向 导 的 指引 下 创建 区 域 。 

(1) 在 “配置 DNS 服务 器 向 导 ” 的 欢迎 对 话 框 中 单 击 " 下 一 步 "按钮 ,打开 “选择 配置 操作 ” 
对 话 框 。 选 中 适合 小 型 网 络 使 用 的 “创建 正 向 查找 区 域 " 单 选 按钮 ,并 单 击 “ 下 一 步 ” 按 钮 。 

(2) 打开 * 主 服务 器 位 置 ? 对 话 框 , 如 果 所 部 署 的 DNS 服务 器 是 网 络 中 的 第 一 台 DNS 
服务 器 , 则 应 该 保持 “这 台 服 务 器 维护 该 区 域 " 单 选 按钮 的 选中 状态 ,将 该 DNS 服务 器 作为 
主 DNS 服务 器 使 用 ,并 单 击 “ 下 一 步 ” 按 钮 。 

(3) 打开 “区 域名 称 ” 对 话 框 ,在 “区 域名 称 ” 文 本 框 中 输入 一 个 能 反映 企业 信息 的 区 域 
名 称 , 如 图 5-13 所 示 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

对 


区 域名 称 人 
新 区 域 的 名 称 是 什么 ? Ek 
二 同和 站 


区 域名 称 包 ); 


Je om 


有 关 区 域名 称 的 详细 信息 ， 请 单 击 “ 帮 助 ”. 


svn wy | ww | 


图 5-13 填写 区 域名 称 
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(4) 在 打开 的 “区 域 文件 对话 框 中 已 经 根据 区 域名 称 默认 填 人 了 一 个 文件 名 。 该 文件 是 
一 个 ASCII 文 本 文件 ,里 面 保存 着 该 区 域 的 信息 ,默认 情况 下 保存 在 windowssystem32dns 文 
件 夹 中 。 保 持 默 认 值 不 变 , 单 击 “ 下 一 步 ”按钮 。 

(5) 在 打开 的 “动态 更 新 ”对 话 框 中 指定 该 DNS 区 域 能 够 接受 的 注册 信息 更 新 类 型 。 
允许 动态 更 新 可 以 让 系统 自动 地 在 DNS 中 注册 有 关 信 息 ,在 实际 应 用 中 比较 有 用 ,因此 选 
中 “允许 非 安 全 和 安全 动态 更 新 ” 单 选 按 钮 , 单 击 “ 下 一 步 ”按钮 。 

(6) 打开 “转发 器 ”对 话 框 ,如 图 5-14 所 示 。 通 过 配置 “转发 器 "可 以 使 内 部 用 户 在 访问 
Internet 上 的 站 点 时 使 用 当地 的 ISP 提供 的 DNS 服务 器 进行 域名 解析 。 这 里 保持 “是 ,应 
当 将 查询 转发 到 有 下 列 IP 地 址 的 DNS 服务 器 上 ” 单 选 按 钮 的 选中 状态 。 在 IP 地 址 文本 框 
中 输入 ISP( 或 上 级 DNS 服务 器 ) 提 供 的 DNS 服务 器 的 IP 地址 , 单 击 “ 下 一 步 ”按钮 。 


[EI EE 


转发 回 
转发 器 是 DNS 服务 器 ， 此 服务 器 把 无 法 答复 的 查询 发 送 给 这 些 转发 器 。 图 


这 个 DNS 服务 器 应 该 向 前 转发 查询 吗 ? 
他 是， 应 当 将 查询 转发 到 有 下 列 IP 地 址 的 DNS 服务 器 上 0OD: 


Pr -39 .16 .68 
， 呵 选 ) 
个 否 ， 不 向 前 转发 查询 D) 
本 +， 这 个 服务 器 仍然 可 以 用 根 名 称 服务 器 解析 名 


有 关 转 发 器 的 详细 信息 ， 请 单 击 “ 和 帮助 ”。 


一 | 和 | 


图 5-14 配置 DNS 转发 


(7) 依次 单 击 “ 完 成 ”按钮 结束 区 域 的 创建 过 程 和 DNS 服务 器 的 安装 配置 过 程 。 

3. 创建 域名 

虽然 利用 向 导 成 功 地 创建 了 test. com 区 域 , 但 是 此 时 内 部 用 户 还 不 能 使 用 这 个 名 称 来 
访问 内 部 站 点 ,因为 它 还 不 是 一 个 合格 的 域名 。 所 以 需要 在 其 基础 上 创建 指向 不 同 主机 的 
域名 才能 提供 域名 解析 服务 。 创 建 域名 www. test. com 操作 的 步骤 如 下 : 


(1) 依次 单 击 “ 开 始 ”一 “管理 工具 ”一 DNS 菜单 [a 
命令 ,打开 dnsmagt 控制 台 窗口 。 名 称 0 果 为 空 则 使 用 其 父 域名 称 ) QD; 


(2) 在 左 窗 格 中 依次 展开 ServerName 一 “ 正 向 查 
找 区 域 " 目 录 。 然 后 单 击 test. com 区 域 ,执行 快捷 菜 wm 
单 中 的 “新 建 主机 ”命令 。 理 地 址 加: 

(3) 打开 “新 建 主机 ”对 话 框 ,如 图 5-15 所 示 。 在 eae 
“名 称 ”( 如 果 为 空 则 使 用 其 父 域 名 称 ) 文 本 框 中 输入 上 搓 全 各 驴 9 用 有 用 相 RA9 有 者 名 区 末末 
一 个 能 代表 该 主机 所 提供 服务 的 名 称 ( 如 www)。 在 
“IP 地 址 ”文本 框 中 输入 该 主机 的 IP 地 址 , 单 击 “添加 
主机 ”按钮 。 很 快 就 会 提示 已 经 成 功 创建 了 主机 
记录 。 图 5-15 “新 建 主机 ”对 话 框 


(4) 最 后 单 击 “ 完 成 ”按钮 结束 DNS 域名 的 创建 。 

4. 设置 DNS 客户 端 

尽管 DNS 服务 器 已 经 创建 成 功 ,并 且 也 已 经 创建 了 合适 的 域名 ,但 是 在 客户 机 的 浏览 
器 中 仍 无 法 使 用 www. test. com 这 样 的 域名 访问 网 站 。 这 是 因为 虽然 已 经 有 了 DNS 服务 
器 ,但 客户 机 并 不 知道 DNS 服务 器 在 哪里 ,因此 不 能 识别 用 户 输 入 的 域名 。 必 须 手动 设置 
DNS 服务 器 的 IP 地 址 才 行 。 在 客户 机 “Internet 协议 (TCP/IP) 属 性 "对话 框 中 的 “首选 
DNS 服务 器 "文本 框 中 设置 刚刚 部 署 的 DNS 服务 器 的 IP 地 址 ,如 图 5-16 所 示 。 然 后 单 击 
“确定 ”按钮 完成 客户 端的 配置 。 
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个 自动 获得 IP 地 址 @@) 
鲜 便 用 下 面 的 IP 地 址 G@): 
匡 地 址 QD); 

子 网 掩 码 

默认 网 关 @) 


回 使 用 下 面 的 DRS 服务 器 地 址 到) 
首选 DNS 服务 器 中) 
备用 DNS 服务 器 (A) 


图 5-16 设置 客户 端 DNS 服务 器 地 址 


5.1.3 邮件 服务 器 管理 


邮件 服务 器 也 是 企业 网 络 管理 中 的 任务 之 一 。 与 Web 网 站 .FTP 站 点 服务 器 一 样 , 邮 件 
服务 器 的 配置 方案 也 非常 多 ,下 面 介绍 的 是 基于 Windows Server 2003 的 邮件 服务 器 管理 。 

1. 邮件 服务 器 的 安装 

邮件 服务 器 系统 由 POP3 服务 .SMTP 服务 以 及 电子 邮件 客户 端 三 个 组 件 组 成 。 其 中 
的 POP3 服务 与 SMTP 服务 一 起 使 用 ,POP3 为 用 户 提供 邮件 下 载 服 务 , 而 SMTP 则 用 于 
发 送 邮 件 以 及 邮件 在 服务 器 之 间 的 传递 。 电 子 邮件 客户 端 是 用 于 读 取 、 撰 写 以 及 管理 电子 
邮件 的 软件 。Windows Server 2003 的 POP3 服务 组 件 可 以 使 用 户 无 须 借助 任何 工具 软件 ， 
即 可 搭建 一 个 邮件 服务 器 ,方法 如 下 : 

(1) 选择 “开始 ?一 “管理 工具 ” ,打开 * 配 置 您 的 服务 器 向 导 ? 对 话 框 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,打开 “预备 步骤 ”提示 对 话 框 ,在 其 中 提示 了 在 进行 以 下 步骤 前 
需要 做 好 的 准备 工作 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,打开 “服务 器 角色 ”对 话 框 。 在 其 中 选择 “邮件 服务 器 (POP3， 
SMTP)” 选 项 ,如 图 5-17 所 示 。 
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配置 你 的 服务 器 向 导 本 xl 


服务 器 角色 [本 
人 人 区 个 特定 入 色 。 扣 果 作 想 在 此 服务 器 上 添加 一 个 以 上 的 和 EE | 
. 


一 个 角色 。 如 果 裔 色 没 有 尖 加 ,您 可 以 添加 它 ， 如 果 它 已 经 被 洒 加 ,， 修 可 以 抽 除 它 。 如 果 弥 
和 i 


邮件 服务 器 (FOP3 ,STP) 


Sn 
A ASP, EET) 是 器 使 用 POP3 和 SNTP 
ne 

访问 YPN 服务 器 否 

域 榨 制 器 Active Directory) 是 加 到 关于 邮件 服务 器 的 信息 

服务 器 是 

DHCP 服务 器 是 

体 | 否 

WINS 服务 器 否 


查看 “配置 您 的 服务 器 向 导 "” 日志 


uel wl 


图 5-17 “服务 器 角色 ”对 话 框 


(4) 单 击 “ 下 一 步 ” 按 钮 ,打开 如 图 5-18 所 示 的 对 话 框 。 在 其 中 要 求 选择 邮件 服务 器 中 
所 使 用 的 用 户 身份 验证 方法 ,如 果 是 在 域 网 络 中 ,选择 "Active Directory 集成 的 ”方式 ,然后 
在 “电子 邮件 域名 ”中 指定 一 个 邮件 服务 器 名 。 


配置 您 的 服务 器 向 导 到 | 


配置 POP3 服务 再 
您 必须 指定 电子 邮件 客户 如 何 身份 验证 到 服务 器 和 电子 邮件 域名 。 下 
二 


选择 用 户 身份 验证 方法 。 
身份 验证 方法 @) 


Active Directory 集成 的 司 


键入 此 服务 器 要 接收 电子 邮件 的 域名 。 请 使 用 完全 合格 的 DNS 域名 。 例 如 : microsoft. com 


电子 邮件 域名 字 ) 
est eonl 


《上 一 步 四 取消 才 助 


图 5-18 “配置 POP3 服务 ”对 话 框 


(5) 单 击 “ 下 一 步 " 按 钮 ,打开 “选择 总 结 ” 对 话 框 ,在 列表 中 总 结 了 以 上 配置 选择 。 
(6) 单 击 “ 下 一 步 ” 按 钮 后 系统 开始 安装 邮件 服务 器 所 需 的 组 件 。 在 此 过 程 中 ,系统 会 
提示 用 户 指 定 Windows Server 2003 系统 源 程 序 所 在 位 置 , 以 便 复制 所 需 文 件 。 


(7) 完成 文件 复制 后 ,直接 单 击 “ 完 成 ”按钮 完成 邮件 服务 器 的 整个 安装 过 程 。 完 成 后 
执行 “开始 ”>“ 管 理工 具 ”>“ 管 理 您 的 服务 器 ”菜单 操作 ,在 打开 的 “管理 您 的 服务 器 "窗口 
即 可 见 到 刚才 安装 的 邮件 服务 器 。 单 击 “ 管 理 此 邮件 服务 器 " 即 可 打开 “POP3 服务 ”窗口 ， 


如 图 5-19 所 示 。 


名 文件 加。 损 作 内 查看 WD 窗口 四。 大助 中 
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图 5-19 “POP3 服务 ”窗口 


2. 邮件 服务 器 的 配置 
邮件 服务 器 安装 好 后 还 需要 进行 一 定 的 配置 才能 正常 工作 。 配 置 步 又 为 : 


(1) 执行 “开始 ”>"“ 管 理工 具 ”->“POP3 服务 ”菜单 操作 ,打开 邮件 服务 器 窗口 。 
(2) 在 “POP3 服务 ”窗口 左边 单 击 邮 件 服务 器 名 ,然后 单 击 右键 ,在 弹出 的 快捷 菜单 中 
选择 “属性 ”, 或 者 在 右边 窗 格 中 单 击 “ 服 务 器 属性 ”链接 ,打开 如 图 5-20 所 示 的 邮件 服务 器 


属性 对 话 框 。 
可 到 

mm | 

目 JACK96 

身份 验证 方法 如 tive Directory 某所 的 了 
服务 器 请 口 E) 夯 

日 志 级 别 0) 最 小 | 
根 邮件 目录 @): 

[C:\Inetpub\mailroot\Nailbox 浏览 @B)... | 

厂 对 所 有 客户 端 连 接 要 求 安全 密码 身份 验证 (SPA) EE) 

灰 总 是 为 新 的 邮箱 创建 关联 的 用 户 C) 


图 5-20 邮件 服务 器 属性 对 话 框 


在 该 对 话 框 中 可 以 配置 服务 器 所 使 用 的 端口 .日 志 级 别 . 根 邮件 目录 ,是 否 要 采取 安全 


密码 身份 验证 方式 ,以 及 是 否 为 新 邮箱 创建 关联 的 用 户 。 


(3) 在 邮件 服务 器 窗口 左边 窗 格 中 选择 相应 的 邮件 服务 器 域名 ,在 右边 窗 格 中 单 击 “ 添 
加 邮箱 ”链接 。 在 这 里 可 以 添加 新 用 户 邮 箱 ,如 果 要 同时 为 系统 创建 一 个 用 户 账户 , 则 要 选 
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择 “ 为 此 邮箱 创建 相关 联 的 用 户 ” 复 选 框 ,输入 好 邮箱 名 和 密码 后 单 击 “ 确 定 ” 按 钮 ,完成 邮件 
服务 器 的 配置 。 

3. 邮件 服务 器 的 管理 

在 邮件 服务 器 安装 过 程 中 ,将 添加 并 设置 一 个 新 的 域名 ,以 将 它 用 于 E-mail 服务 。 如 
果 企 业 申 请 有 两 个 或 多 个 域名 ,或 者 该 服务 器 作为 虚拟 主机 来 提供 邮件 服务 ,也 可 以 添加 多 
个 域名 以 实现 多 邮件 虚拟 服务 的 共存 。 

1) 创建 域 

(1) 打开 “POP3 服务 "窗口 ,鼠标 右键 单 击 其 中 的 “计算 机 名 ”节点 ,并 在 弹出 的 快捷 菜 
单 中 选择 “新 建 ”>“ 域 ”选项 ,在 “添加 域 " 对 话 框 中 的 “域名 ”文本 框 中 输入 新 域名 ,并 确保 该 
域名 已 经 在 DNS 服务 中 设置 好 MX 记录 。 

(2) 单 击 该 对 话 框 中 的 “确定 ”按钮 ,以 完成 新 域名 的 添加 。 

(3) 重复 上 述 操 作 , 可 在 邮件 服务 器 中 添加 多 个 域名 。 


2) 管理 域 
在 一 个 POP3 窗口 中 ,可 以 对 电子 邮件 域 进 行 必要 的 管理 ,例如 删除 ,锁定 / 解 除 锁定 。 
操作 方法 为 : 


(1) 在 “POP3 服务 窗口 中 , 单 击 * 计 算 机 名 ”, 并 且 右 键 单 击 要 删除 的 域 , 然 后 单 击 * 删 
除 ” 菜 单 命 令 , 根 据 提示 即 可 删除 该 域 . 域 中 所 有 邮箱 以 及 存储 在 域 中 的 所 有 邮件 。 

(2) 鼠标 右键 单 击 要 锁定 的 域 ,从 快捷 菜单 中 选择 “锁定 ”菜单 命令 , 即 锁定 了 该 域 。 

(3) 在 解除 锁定 域 时 ,只 需 再 从 快捷 菜单 中 选择 “解除 锁定 ”菜单 命令 即 可 。 

3) 管理 邮箱 

在 建立 了 一 个 邮件 域 之 后 ,就 可 以 在 该 域 中 建立 账户 ( 即 邮箱 账户 ), 并 对 邮箱 进行 
管理 。 

(1) 创建 邮箱 

打开 “POP3 服务 "窗口 ,选中 要 创建 新 邮箱 的 域 ,然后 在 右键 快捷 菜单 中 依次 选择 “新 
建 ”邮箱 ? 子 菜单 。 或 者 在 如 图 5-21 所 示 的 窗口 中 , 单 击 “ 添 加 邮箱 ”链接 ,在 弹出 的 对 话 
框 中 输入 “邮箱 名 ”, 同 时 在 “密码 ”及 “确认 密码 ” 框 中 输入 相同 的 密码 ; 最 后 单 击 “ 确 定 ” 按 
钮 , 即 完成 邮箱 的 添加 工作 。 重 复 上 述 操 作 , 可 以 为 所 有 网 络 用 户 都 添加 电子 邮箱 。 
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名 文件 如 哲 作 W) 查看 WD 窗口 WD 六 助 0D | zl 过 
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图 5-21 邮件 服务 器 属性 窗口 


(2) 删除 邮箱 

在 图 5-21 中 单 击 * 删 除 邮 箱 ” 链 接 , 将 弹出 “删除 邮箱 ?对 话 框 , 以 询问 是 否 “ 同 时 也 删除 
与 此 邮箱 相关 联 的 用 户 账户 ”。 如果 选 中 该 复 选 框 , 则 Users 组 中 的 该 用 户 也 同时 被 删除 。 
这 也 就 是 说 ,将 同时 剥夺 该 用 户 访问 发 送 电 子 邮 件 服务 器 和 登录 至 域 的 权限 。 

最 后 单 击 “ 是 ”按钮 ,删除 该 邮箱 成 功 ,同时 也 将 删除 该 邮箱 的 邮件 存储 目录 以 及 该 目录 
中 存储 的 所 有 电子 邮件 。 

(3) 锁定 /解除 锁定 邮箱 

如 果 需 要 暂时 禁用 某 个 邮箱 账户 ,但 又 没 必 要 删除 ,以 备 日 后 重新 启用 ,这 时 可 以 暂时 
锁定 该 邮箱 账户 。 当 一 个 邮箱 被 锁定 时 ,仍然 能 接收 发 送 到 邮件 存储 区 的 传人 电子 邮件 。 
但 是 ,该 用 户 却 不 能 连接 到 服务 器 检索 电子 邮件 。 锁 定 一 个 邮箱 只 是 限制 了 该 用 户 使 其 不 
能 连接 到 服务 器 ,但 是 管理 员 仍 然 可 以 执行 所 有 的 管理 任务 。 锁 定 /解除 锁定 邮箱 的 方 
法 为 : 

在 “POP3 服务 "窗口 中 右 击 要 锁定 的 信箱 ,并 在 弹出 的 快捷 菜单 中 选择 “锁定 " 子 菜 单 。 
或 单 击 “ 锁 定 邮箱 ”链接 即 可 锁定 该 信箱 。 若 要 解除 对 该 邮箱 的 锁定 ,只 需 在 弹出 的 快捷 菜 
单 中 选择 “解除 锁定 ” 子 菜单 即 可 。 

(4) 邮箱 属性 设置 

用 户 对 信箱 最 关心 的 事情 莫 过 于 其 容量 的 大 小 以 及 安全 问题 。Windows Server 2003 
的 POP3 邮件 服务 器 可 以 通过 启用 磁盘 配额 ,来 限制 一 个 账户 的 磁盘 空间 ,以 实现 对 邮箱 大 
小 的 设置 。 同 时 还 可 以 更 改 邮箱 初始 密码 ,这 有 效 地 保障 了 服务 器 及 用 户 的 利益 。 既 防止 
了 用 户 无 限制 地 使 用 磁盘 空间 ,又 保护 了 用 户 邮 件 的 安全 。 

(5) 邮箱 大 小 设置 

如 果 邮 件 服务 器 采用 活动 目录 集成 的 身份 验证 或 本 地 Windows 账户 身份 验证 ,那么 在 
为 用 户 创 建 邮 箱 时 ,默认 将 创建 一 个 配额 文件 ,并 启用 相应 的 磁盘 配额 。 因 此 ,如 果 用 户 信 
箱 采用 默认 的 磁盘 限额 设置 ,就 不 必 再 为 每 个 用 户 进 行 单独 的 设置 。 

。 启用 磁盘 配额 功能 : 由 于 磁盘 配额 功能 默认 适用 于 全 部 电子 邮箱 ,因此 应 当 充 分 考 

虑 到 磁盘 的 总 容量 .用户 总 数量 等 因素 ,以 合理 地 设置 磁盘 配额 功能 。 
。 为 个 别 用 户 单独 设置 磁盘 配额 : 对 于 一 些 对 邮箱 容量 有 特殊 要 求 的 用 户 , 可 以 单独 
为 其 设置 磁盘 配额 。 


5.1.4 FTP 管理 


1. FTP 服务 器 的 建立 

(1) 依次 单 击 *“ 开 始 ” 一 设置 ?一 控制 面板 ”一 “添加 /删除 程序 ", 打 开 * 添 加 /删除 程 
序 ” 对 话 框 ,选中 “添加 /删除 Windows 组 件 ”。 

(2) 在 对 话 框 中 选中 “Internet 信息 服务 (1IS)”, 查 看 其 详细 信息 ,然后 选中 “文件 传 
输 协 议 (FTP) 服 务 器 "项 后 , 单 击 “ 确 定 ” 按 钮 , 接 下 来 按照 向 导 至 安装 完成 ,如 图 5-22 
所 示 。 

(3) 依次 单 击 *“ 开 始 ” 一 程序 ”一 管理 工具 ”Internet 信息 服务 ”, 打 开 IIS 控制 台 。 

(4) 右 击 “ 默 认 FTP 站 点 ”, 在 快捷 菜单 中 选中 “属性 ”命令 ,打开 “默认 FTP 站 点 属性 ” 
对 话 框 。 在 ”FTP 站 点 "选项 卡 中 ,修改 “描述 "为 容易 识别 的 标识 ,“IP 地 址 ”修改 为 当前 主 


网 络 设 备 营 理 


地 加 趴 


网 络 管 理 其 太 我 程 


则 Internet 信息 服务 (IS) 和 理 器 
文件 操作 向 查看 WW 窗口 如 下 助 人 0 
守 沙 | 旬 | 四 | 锋 旭 蕊 | 岛 困 | 旦 | > 1 


Internet 信息 服务 
日 - 蔓 Jickss (本 地 计算 机 ) 
由 站 应 用 程序 池 
由 网 站 
由 二] Yeb 服务 扩展 
和 由 站 


图 5-22 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


机 的 某 个 IP 地 址 (在 主机 具备 多 IP 地 址 的 情况 下 )。 如 图 5-23 所 示 , 本 机 私有 地 址 为 
“192. 168. 215. 100”,“TCP 端口 "为 默认 的 FTP 端口 号 ”21”。 


gy 
FTP 站 点 | 安全 账户 | 消息 | 主 目录 | 目录 安全 性 | 
FTP 站 点 标识 
描述 四 ): 展 愉 FIP 站 点 
JP 地 址 加 Ji92.168.215.100 =] 
TCF 端口 0); 站 
FFTP 站 点 连接 
个 不 受 限制 由 
他 连接 限制 为 虽 ) Cale 
连接 超时 ( 秒 ) CC); 120 
三 权 启用 日 志 记 录 名) 
活动 日 志 格 式 外 ; 
|Y3C 扩展 日 志文 件 格式 可 尾 性 @) | 
当前 会 话 外 


图 5-23 “FTP 站 点 ”选项 卡 


(5) 在 “安全 账户 ”选项 卡 中 选中 “允许 匿名 连接 ”, 如 果 客 户 端 登录 时 需要 进行 身份 验 
证 , 则 可 通过 “浏览 ”来 选中 服务 器 的 Windows 用 户 。 

(6) 在 “消息 ”选项 卡 中 添加 FTP 服务 器 的 登录 欢迎 信息 和 退出 信息 。 

(7) 在 “ 主 目录 ”选项 卡 中 选择 FTP 服务 器 向 外 提供 服务 的 主 目录 ,此 处 可 选择 “此 计 


算 机 上 的 目录 ”。 如 果 选 择 “ 另 一 台 计 算 机 上 的 目录 ”, 则 主 目录 在 其 他 主机 上 ,格式 为 "\\ 

{服务 器 }\{ 共 享 名 }”。FTP 站 点 目录 下 的 “ 读 取 ”“ 写 人 ”“ 记 录 访 问 ? 选 项 可 对 访问 权限 

进行 控制 ,出 于 安全 考虑 应 该 为 匿名 anonymous 用 户 分 配 “ 读 取 ” 权 限 , 如 图 5-24 所 示 。 
EEE ?lx 


FTP 站 点 | 安全 账户 | 消息 。 主 目录 | 目录 安全 性 | 
此 资源 的 内 容 来 源 - 


c 另 一 各 计算 机 上 的 目录 届 ) 


FTP 站 点 目录 
本 地 路 径 @)。 |[c:\inetpub\ftproot 浏览 @@)... 
民 读 取 @) 
入 VW 
克 记录 访问 名 ) 


[EE ] 了 放 应 有 | 一 | 


图 5-24 “ 主 目录 ”选项 卡 


(8) 在 “目录 安全 性 ?选项 卡 中 对 FTP 版 夯 攻 的 芒 问 桥 员 权限 进 行当 本 :本 通 村 此 寻 匠 
FTP 服务 器 的 访问 权限 授权 给 某 部 分 IP 用 户 或 者 拒绝 来 自 某 些 IP 用 户 的 访问 。 注 意 ,> 
选择 了 “授权 访问 "后 ,在 下 表 中 的 IP 地 址 将 被 拒绝 ,如 果 选 择 “ 拒 绝 访问 ”, 下 表 中 的 De 
址 用 户 将 被 授权 。 

2. 测试 FTP 服务 器 

FTP 服务 器 建立 以 后 ,可 以 通过 下 面 方式 对 其 进行 测试 : 

(1) 打开 “命令 提示 符 ”, 在 光标 处 输入 FTP 192. 168. 215. 100; 然后 输入 匿名 账户 
anonymous, 密 码 为 自己 的 邮件 地 址 ; 接着 就 可 通过 FTP 命令 对 FTP 服务 器 进行 操作 。 

(2) 通过 正 来 验证 或 者 获取 FTP 服务 ,在 正 的 地 址 栏 中 输入 ftp://192. 168.215.100/。 

(3) 通过 FTP 客户 端 软件 ,如 FlashFTP .CuteFTP 等 来 访问 FTP 服务 器 。 

3. 虚拟 目录 及 多 站 点 的 配置 

在 FTP 的 配置 过 程 中 ,经 常 需要 对 一 个 主机 提供 多 个 FTP 站 点 来 进行 FTP 共享 。 新 
站 点 的 建立 ,可 以 通过 新 建站 点 向 导 一 步 步 完 成 。 形 式 上 可 通过 一 个 主机 上 的 不 同 IP 地 址 
来 架设 ,或 者 通过 同一 个 IP 地 址 ,不 同 的 端口 号 来 进行 识别 。 如 图 5-25 所 示 为 使 用 同一 
地 址 不同 的 端口 号 (2121) 构 建 的 第 2 个 FTP 站 点 。 

在 FTP 的 配置 过 程 中 ,经 常 需要 对 多 个 不 同 路 径 的 目录 进行 FTP 共享 ,此 时 可 通过 虚 
拟 目 录 来 完成 。 虚 拟 目录 是 在 主 目录 下 通过 某 一 个 文件 夹 链接 到 其 他 目录 的 形式 ,在 主 目 
录 中 实际 不 存在 此 文件 夹 中 的 内 容 , 该 内 容 在 其 他 目录 下 实际 存在 。 新 建 虚拟 目录 可 以 通 
过 新 建 虚拟 目录 向 导 完 成 ,方法 参考 5. 5. 1 节 中 Web 服务 器 虚拟 目录 的 建立 。 四 
章 
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FTP 站 点 创建 向 导 对 
JI? 地址 和 该 口 设置 
为 FTP 站 点 指定 I 地 址 和 应 口 设置 。 


输入 此 FTP 站 点 使 用 的 IP 地 址 ; 


192. 168. 215. 100 | 


输入 此 FT 站 点 的 TCF 端口 鞭 认 = 21): 
121 


sw [TBD] | 


图 5-25 创建 第 2 个 FTP 站 点 


5.1.5 接 入 服务 器 管理 


1. 接 和 服务 器 简介 

通过 串 行 线路 或 调制 解 调 器 为 远程 终端 .个 人 计算 机 提供 网 络 连接 ,并 向 这 些 远程 
用 户 提供 与 其 他 的 LAN 或 者 WAN 的 连接 的 服务 器 称 为 接 人 服务 器 。 接 人 服务 器 位 于 
公用 交换 电话 网 与 卫 网 的 接口 处 ,用 户 拨号 通过 交换 机 经 用 户 线 或 中 继 线 进 入 接 人 服 
务 器 。 

接 入 服务 器 提供 的 服务 一 般 有 终端 服务 .远程 交换 服务 .路 由 服务 和 协议 转换 服务 等 类 
型 。 网 络 接 人 服务 器 的 功能 组 成 可 归 类 为 4 大 功能 模块 。 

(1) 接 人 功能 模块 : 接 人 功能 模块 包括 电话 网 侧 的 接口 模块 ,分 为 PSTN 的 接口 模块 
和 ISDN 的 接口 模块 ; 还 包括 IP 网 侧 的 接口 模块 ,包括 LAN 接口 模块 和 同步 专线 接口 模 
块 ; 根据 需要 也 可 采用 FR 和 ATM 接口 模块 。 

(2) 通信 协议 模块 : 接 入 服务 器 中 包含 众多 通信 协议 ,电话 网 侧 通 信 协 议 (PPP)、IP 网 
侧 通 信 协 议 (TCP/IP、UDP) .VPDN 协议 等 。 

(3) 管理 模块 : 接 入 服务 器 的 管理 模块 包括 3 个 子 功能 模块 : SNMP 代理 功能 模块 、 
Telnet 服务 器 功能 模块 和 远 端 拨号 监控 功能 模块 。 通 过 3 种 不 同 的 途径 对 接 人 服务 器 进行 
控制 管理 。 

(4) 接 入 认证 ,授权 、 计 费 和 统计 模块 : 接 入 服务 器 中 包含 网 络 接 入 认证 与 授权 模块 、 
计 费 模块 和 统计 模块 。 

除了 上 述 4 类 主要 的 功能 模块 外 ,还 有 一 些 其 他 的 模块 .诸如 VPDN 模块 来电 指示 模 
块 和 系统 控制 模块 等 。 

2. 接 人 服务 器 的 业务 

(1) 中 继 合 群 业务 

中 继 合群 功能 指 接 入 服务 器 可 以 处 理 来 自 同一 个 中 继 群 的 不 同 被 叫 号 (相应 于 不 同 的 
ISP) 的 能 力 , 中 继 合 群 适用 于 多 个 ISP 共用 同一 接 入 服务 器 的 情况 .其 功能 为 被 叫 号 判别 、 


不 同 IP 地 址 分 配 和 不 同 接 人 认证 系统 的 指向 。 接 人 服务 器 可 以 支持 多 种 接 人 号 码 在 同一 
中 继 群 中 接 入 ,支持 PSTN 和 ISDN 用 户 在 同一 中 继 群 中 接 和 人 ,并且 接 入 号 码 相同 。 

目前 ,由 中 国电 信 经 营 和 管理 的 比较 大 的 网 络 Chinanet 网 和 Chinainfo 网 ,也 就 是 163 
网 络 和 169 网 络 已 经 两 网 合 一 。 那 么 如 何 实现 不 同 ISP 用 户 的 接 入 呢 ? 

当 来 自 同一 中 继 群 的 不 同 号 码 的 呼叫 进入 接 入 服务 器 时 ,首先 通过 接 入 服务 器 强大 的 
号 码 分 析 能 力 , 将 用 户 引 入 到 不 同 ISP 的 认证 系统 ,认证 通过 之 后 ,系统 根据 不 同 的 ISP 号 
码 分 配给 用 户 不 同 IP POOL 中 的 地 址 ,并 通过 源 地 址 路 由 技术 将 用 户 引 入 不 同 的 路 由 出 
口 , 从 而 访问 Internet。 

(2) 多 链 路 捆绑 业务 

多 链 路 捆绑 是 ML-PPP(Moultilink-PPP) 协 议 的 核心 技术 , 它 是 一 个 较为 简单 的 协议 。 
多 链 路 捆绑 可 将 多 个 物理 链 路 捆绑 成 一 个 逻辑 链 路 ,扩展 传输 带宽 ; 可 对 链 路 资源 进行 动 
态 分 配 , 有 效 地 利用 宝贵 的 带宽 资源 ; 解决 了 多 径 传输 的 时 延 问题 ,组 网 更 加 灵活 。 

MIL-PPP 协议 是 通过 对 两 个 系统 间 同 时 存在 的 多 条 链 路 ,分割 . 按 序 传送 、 重 组 PPP 包 
的 协议 。 在 接 入 服务 器 内 的 MP 捆绑 包括 2 个 B 的 捆绑 和 两 个 Modem 的 捆绑 ,以 及 一 个 B 
和 一 个 Modem 的 捆绑 等 多 种 方式 。 接 入 服务 器 可 以 支持 模拟 -模拟 链 路 捆绑 、 模 拟 -数字 链 
路 的 捆绑 ,数字 -数字 链 路 捆绑 ISDN 的 30BB 十 D 链 路 捆绑 。 

(3) 回 呼 业务 

随 着 社会 的 发 展 ,在 家 中 办 公 将 逐渐 成 为 时 尚 ,与 外 界 的 连接 往往 通过 互联 网 。 员 工 平 
时 在 家 里 工作 , 当 需 要 同 企业 总 部 进行 联系 或 上 网 查找 资料 时 , 便 可 利用 回 呼 功能 上 网 , 通 
过 Internet 进行 办 公 。 回 呼 功能 使 话费 的 承担 者 发 生 了 变化 , 回 呼 用 户 只 需 承 担 开始 一 小 
段 时 间 的 话费 ,剩余 话费 记录 在 企业 提供 的 账号 上 ,由 企业 统一 支付 。 

(4) VPDN 业务 

Internet 的 发 展 促使 许多 大 型 企业 (如 银行 、 铁 路 .公司 等 ) 内 部 网 络 实现 了 与 Internet 
的 互联 。 以 往 在 政府 部 门 之 间 、 跨 地 区 的 企业 内 部 网 络 之 间 的 互联 是 通过 专 网 实现 的 ,这 种 
接 入 方法 极其 昂贵 ,让 大 多 数 用 户 望 而 却步 。 而 出 差 在 外 的 人 员 如 果 需 要 与 总 部 联系 ,往往 
需要 通过 拨号 上 网 拨 入 企业 内 部 网 ,这 样 又 无 法 保证 其 安全 性 和 可 靠 性 。 如 何 发 挥 互 联网 
的 效益 ,协助 企业 的 发 展 是 目前 很 多 企业 比较 关注 的 问题 。 

VPDN(Virtual Private Dial Network) 是 VPN 技术 的 一 种 ,提供 远程 用 户 通过 PSTN/ 
ISDN 拨号 接 入 到 Internet, 并 建立 隧道 以 传送 数据 至 目的 网 络 。VPDN 功能 包括 对 请 求 建 
立 虚 拟 数据 专 网 的 拨号 用 户 进行 用 户 资格 认证 ,以 及 为 通过 资格 认证 的 用 户 建立 虚拟 数据 
专 网 的 隧道 ,数据 包 传送 和 拆除 隧道 等 。 接 人 服务 器 利用 VPN 技术 可 以 实现 多 种 新 业务 ， 
企业 只 需 在 一 个 地 方 申请 VPN 业务 ,就 可 以 在 其 他 地 方 使 用 VPN 业务 。 用 户 拨 入 当地 的 
ISP 接 入 服务 器 时 ,即使 没有 该 地 ISP 账户 也 可 享受 相应 服务 。 

(5) 端口 批发 业务 

Internet 的 飞速 发 展 使 得 拨号 接 和 网络 的 运营 呈现 前 所 未 有 的 生机 ,但 基于 现 有 网 络 
基础 设施 的 投入 和 运营 的 规模 效应 之 间 存 在 比较 大 的 差距 ,大 多 数 ISP 由 于 中 继 电 路 的 昂 
贵 和 设备 初期 投入 大 而 难以 在 短期 内 构建 一 个 比较 全 面 的 拨号 接 入 网 络 , 并 且 投 入 所 产生 
的 规模 效应 难以 实现 ,而 大 型 网 络 运营 商 由 于 资金 和 现 有 的 网 络 资源 较 有 竞争 力 ,逐渐 与 一 
些小 型 的 ISP 相 分 离 ,导致 网 络 运营 商 致力 于 拨号 网 络 的 建设 ,而 将 部 分 网 络 资源 (如 拨号 
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端口 ) 出 租 给 ISP ICP 等 ,实现 端口 批发 业务 。 
(6) IP 电话 业务 
IP 电话 业务 即 是 利用 Internet 网 络 作为 传输 通道 并 提供 话音 服务 的 一 种 业务 。 目 前 ， 
IP 电话 的 发 展 潜力 在 于 资费 的 低廉 , 随 着 电路 交换 向 分 组 交换 的 演进 ,基于 IP 电话 的 增值 
业务 呈现 出 了 前 所 未 有 的 生机 ,为 IP 电话 运营 商 ISP 等 提供 了 更 多 的 商机 。 通 常 的 接 入 
服务 器 是 集 程控 交换 、 接 入 和 IP 电话 于 一 体 的 多 业务 综合 智能 平台 ,在 硬件 不 变 的 情形 下 ， 
实现 IP 电话 网 关 功 能 。 
3. Windows Server 2003 的 接 人 服务 
Microsoft Windows Server 2003 中 的 “路 由 和 远程 访问 ”可 以 提供 以 下 网 络 服务 : 
。 拨号 远程 访问 服务 器 。 
。 虚拟 专用 网 络 (VPN) 远程 访问 服务 器 。 
。 连接 专用 网 络 子 网 的 Internet 协议 (IP) 路 由 器 。 
。 将 专用 网 络 连 接 到 Internet 的 网 络 地 址 转换 器 (NAT)。 
。 拨号 和 VPN 站 点 到 站 点 请 求 拨号 路 由 器 。 
“路 由 和 远程 访问 ”服务 使 远程 用 户 可 以 通过 VPN 或 拨号 连接 访问 专用 网 络 上 的 资 
源 。“ 路 由 和 远程 访问 ”服务 器 可 以 提供 LAN 和 WAN 路 由 服务 ,用 来 连接 小 型 办 公 网 络 
中 的 网 段 或 通过 Internet 连接 两 个 专用 网 络 。 
通过 将 “路 由 和 远程 访问 ”配置 为 远程 访问 服务 器 ,可 以 将 远程 工作 人 员 或 流动 工作 人 
员 连 接 到 相关 组 织 的 网 络 上 。 和 远程 用 户 可 以 像 其 计算 机 物理 连接 到 网 络 上 一 样 进行 工作 ， 
可 以 使 用 LAN 中 可 用 的 所 有 服务 (包括 文件 共享 和 打印 机 共享 、Web 服务 器 访问 和 消息 传 
递 ), 如 图 5-26 所 示 。 


件 共 训 主机 访问 库 电子 邮件 
闻 和 文件 共享 主机 访问 数据库 和 日 程 安排 


远程 访问 服务 器 
(Windows Server 2003) 
电话 、X.25 、 

ISDN 


远程 访问 客户 机 
图 5-26 远程 访问 服务 示意 图 


4. NAT 和 VPN 远程 接 人 服务 管理 

NAT 和 VPN 的 实现 需要 在 服务 器 上 安装 双 网 卡 ,一 块 用 于 连接 外 网 ,一 块 接 用 于 连 
接 局 域 网 。 此 外 ,需要 安装 Windows Server 2003 中 的 “路 由 和 远程 访问 "组件 。 

1) 开启 VPN 和 NAT 服务 

(1) 依次 单 击 “ 开 始 ” 一 “程序”>“ 管 理工 具 ” 一 “路 由 和 远程 访问 ”, 然 后 打开 “路 由 和 远 
程 访问 "窗口 ; 青 在 窗口 左边 右 击 本 地 计算 机 名 ,从 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远 


程 访问 ”, 如 图 5-27 所 示 。 


阁 由 和 远程 =|Djx| 
文件 操作 各 ”查看 帮助 0 
委 了 | 舌 | 加 | 类 萎 下 | 包 国 


[ly 
苹 用 路 由 和 下 程 沪 问 (8) 


访问 服务 器 的 配置 
网 程 访问 ， 在 “操作 ” 烹 单 上 单 击 “ 配 置 并 局 用 路 由 


”二 二 mw、 和 远程 访问 部 署 方案 以 及 疑难 解答 的 更 多 信息 , 


图 5-27 配置 并 启用 路 由 和 远程 访问 


(2) 在 弹出 的 “路 由 和 远程 访问 服务 器 安装 向 导 ” 中 单 击 “ 下 一 步 ” 按 钮 ,在 出 现 的 对 话 
框 中 选择 “ 自 定义 配置 "选项 ,继续 单 击 “ 下 一 步 "按钮 ,出 现 如 图 5-28 所 示 的 对 话 框 。 


路 由 和 远程 访问 服务 器 安装 条 导 


自 定义 配置 
关闭 此 向 导 后 ， 您 可 以 在 路 由 和 远程 访问 控制 台中 配置 选择 的 服务 。 中 本 本 


选择 悠 想 在 此 服务 器 上 启用 的 服务 。 
F YEE 访问 名 ) 


厂 拓 号 访问 加) 

厂 请 求 拨号 连接 (由 分 支 办 公 室 路 由 使 用 ) 到 ) 
7 河和 二 

厂 LA 路 由 必 


< 上 - 步 名 [二 步 加 站 取消 | 


图 5-28 “ 自 定义 配置 ”对话 框 


这 里 选择 “VPN 访问 "和 “NAT 和 基本 防火 墙 " 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 
的 对 话 框 中 单 击 “ 完 成 按钮 .系统 会 提示 是 否 启 动 服务 , 单 击 是 ”按钮 ,系统 会 按 刚 才 的 配 
置 启动 路 由 和 远程 访问 ”服务 ,最 终结 果 如 图 5-29 所 示 。 
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ITEEET 
文件 到 ) ”操作 忆 ) ”查看 OO) 帮助 咖 
亿 定 | 加 | 困 |X 荣 日 | 国 国 
唉 由 和 入 沪 问 
最 服务 器 状态 加 
a 此 服务 器 上 配置 了 路 由 和 远程 访问 
党 呈 村 用 由 和 和 灶 各 光 服务 红妆 顽 们 这 人 了 区 下。 要 对 


端口 
运程 访问 客户 端 O) 前 配置 进行 更 改 , 台 树 中 选择 一 个 项 目 ， 然 后 在 “ 操 
亚 路 由 选择 癌 订单 上 单 击 全 

常规 


有 关 安 半路 由 和 运程 访问 ， 部 署 方案， 以 及 疑难 解答 的 更 多 信息 ， 
静 放 路 由 请 参阅 路 由 和 远程 访问 帮助 。 
THCP 中 继 代理 程序 


加 IGNP 
一 惫 MAT/ 基 本 防火 墙 
由 .车 远程 访问 策略 
由 辐 远 程 访问 记录 


图 5-29 配置 结果 窗口 


2) 配置 NAT 服务 
(1) 在 “路 由 和 远程 访问 ”窗口 中 右 击 ^NAT/ 基 本 防火 墙 ?选项 ,从 快捷 菜单 中 选择 “新 
增 接口 ?命令 ,在 弹出 的 对 话 框 中 选择 “ wan” 接口 , 单 击 * 确 定 按 钮 ,弹出 “网 络 地 址 转换 -本 
地 连接 属性 ”对 话 框 ,进行 如 图 5-30 所 示 配 置 。 
了 到 
MAT/ 基 本 防火 墙 | 地 址 池 | 服务 和 端口 | IcuP | 


接口 类 型 : 

个 专用 接口 连接 到 专用 网 络 引 ) 

他 公用 接口 连接 到 | Internet QW) 
[a ee WAT E) 


上 的 客 此 接口 向 Internet 发 送 
TInternet 区 pm 


二 Internet 接收 数据 


个 妈 基 本 防火 墙 @@) 


攻 才 数据 包 第 过 器 
和 (例如 IF 地 址 或 协 


入 站 第 选 器 E) | 。 出 站 第 选 器 (0) 


图 5-30 “NAT/ 基 本 防火 墙 ?选项 卡 


由 于 这 个 网 卡 是 连接 外 网 的 ,所 以 选择 “公用 接口 连接 到 Internet” 和 “在 此 接口 上 启用 
NAT"” 复 选 框 ,并 选择 “在 此 接口 上 启用 基本 防火 墙 " 复 选 框 ,这 对 服务 器 的 安全 是 非常 重要 的 。 
(2) 单 击 “ 服 务 和 端口 ”选项 卡 ,设置 服务 器 允许 对 外 提供 PPTP VPN 服务 ,在 “服务 和 


端口 ”选项 卡 中 单 击 *VPN 网 关 (PPTP)”, 在 弹出 的 “编辑 服务 ”对 话 框 中 进行 如 图 5-31 所 
示 设 置 。 

(3) 单 击 “ 确 定 ” 按 钮 , 回 到 “服务 和 端口 ”选项 卡 ,确保 选中 “VPN 网 关 (PPTP)” 复 选 
框 ,如 图 5-32 所 示 。 


加 
到 到 | 。。。 i/# 淡 培 | 地 地 服 SMD |ia | 
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EE Bi A 的 2 
服务 (8); 


服务 描述 @) 


ey I PFT) 


[公用 地 址 


口 Iaternet 邮件 服务 器 (SHTP) > 


口 邮局 协议 版 本 3 (FoF3) 
他 在 此 接口 @) 口 远程 点 面 
六 在 此 地 址 江 顶 | | 口 安全 Yeb 服务 器 rTPS) 
在 此 地 址 江 项 @E) A 
「 协 议 必 ) 
不 TCF © mr 口 Yeb 服务 器 QTTP) ~ 
| (4 
传 入 端口 I): [ 卫 添加 0)... | 编辑 0)... 开除 下 ) 
专用 地 址 企 ); A RR 
传 出 端口 @); 3 


Cm |] we | 取消 |， 应 用 多 ) 


图 5-31 “编辑 服务 "对 话 框 图 5-32 “服务 和 端口 "选项 卡 


3) 设置 VPN 服务 
(1) 设置 连接 数 : 右 击 “路 由 和 远程 访问 "窗口 中 右边 树 型 目录 的 “端口 ”选项 ,从 快捷 
菜单 中 选择 “属性 ”命令 ,弹出 如 图 5-33 所 示 的 对 话 框 。 
Ix] 
设备 | 
路 由 和 远程 访问 RRAS) 使 用 下 列 设备 。 


击 吕 溃 


图 5-33 “端口 属性 ”对 话 框 
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Windows Server 2003 企业 版 VPN 服务 默认 支持 128 个 PPTP 连接 和 128 个 L2TP 连 
接 ,因为 要 使 用 PPTP 协议 ,所 以 双击 “WAN 微型 端口 (PPTP) ”选项 ,在 弹出 的 如 图 5-34 
所 示 的 对 话 框 中 ,根据 自己 的 需要 设置 所 需 的 连接 数 。Windows Server 2003 企业 版 最 多 
支持 30 000 个 L2TP 端口 ,16 384 个 PPTP 端口 。 

(2) 设置 IP 地 址 : 在 “路 由 和 远程 访问 "窗口 中 右 击 树 型 目录 里 的 本 地 服务 器 名 ,选择 
“属性 ?并 切换 到 IP 选项 卡 ,如 图 5-35 所 示 。 


了 车 
守山 | 安全 亚 |rrr 18 志 | 
历 启用 苹 路 由 四 
太 区 许 基于 IT 的 远程 访问 和 请 求 找 呈 连接) 
JIP 地 址 指派 
此 服务 器 指派 IP 地 址 使 用 的 是 : 
| 个 动 帮主 机 配置 协议 ONCP) 四 
和 可 以 使 用 此 设备 进行 远程 访问 请 求 扑 呈 连 授 。 个 玫 态 地 址 池 B) 
太 远程 访问 连接 羽 入 站 ) @) 有 一 型 王 地 直 扳 码 
克 请 求 氢 呈 路 由 沈 择 连 接 入 站 和 出 站 ) D) 
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区 rm Ey 
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你 可 以 为 支持 多 重 端 口 的 设备 设置 景 多 庙 口 数 限 制 . 厅 启用 广播 名 称 解析 C) 


最 多 端口 数 介 :|134 


Ce ] we | 


图 5-34 设置 最 多 端口 数 图 5-35 IP 选项 卡 


(3) 选择 “静态 地 址 池 ” 后 单 击 “添加 ”按钮 ,在 弹出 的 “新 建 地 址 范围 ”对 话 框 中 ,填写 一 
个 地 址 范围 ,但 是 不 要 和 本 地 IP 地 址 冲突 。 

(4) 单 击 “ 确 定 ” 按 钮 回 到 IP 选项 卡 , 继 续 单 击 "确定 ?按钮 应 用 当前 的 设置 。 

4) 远程 访问 策略 设置 ,允许 指定 用 户 拨 入 

(1) 新 建 用 户 和 组 : 依次 单 击 “ 开 始 " 一 “程序 "管理 工具 ”一 "计算 机 管理 ”, 在 弹出 
的 “计算 机 管理 ?对 话 框 中 选择 “本 地 用 户 和 组 ”, 右 击 * 用 户 ”, 从 快捷 菜单 中 选择 “新 用 户 ? 进 
行 用 户 和 用 户 组 的 创建 。 

(2) 设置 远程 访问 策略 : 在 “路 由 和 远程 访问 "窗口 中 右 击 “远程 访问 策略 ”, 从 快捷 菜 
单 中 选择 “新 建 远 程 访问 策略 ”, 在 弹出 的 对 话 框 中 单 击 “ 下 一 步 " 按 钮 ,输入 方便 记忆 的 “ 策 
略 名 ”, 然 后 单 击 “ 下 一 步 按 钮 。 

(3) 选择 VPN 选项 , 单 击 “ 添 加 ”按钮 把 前 面 新 建 的 组 加 入 到 这 里 ,连续 单 击 “ 下 一 步 ” 
按钮 和 “完成 "按钮 ,完成 远程 策略 的 设置 。 

5) 配置 VPN 客户 端 

在 客户 端 需 要 建立 一 个 到 VPN 服务 器 端的 专用 连接 ,以 Windows XP 客户 端 为 例 建 
立 VPN 专用 连接 的 方法 如 下 : 

(1) 在 “网 上 邻居 ”图 标 单 击 鼠标 右键 并 从 快捷 菜单 中 选择 “属性 ”命令 ,然后 单 击 “ 新 建 
连接 向 导 ” 打 开 向 导 窗口 ,然后 单 击 * 下 一 步 ? 按 钮 ; 接着 在 “网 络 连 接 类 型 "窗口 里 选中 “ 连 


接 到 我 的 工作 场所 的 网 络 ” 单 选 按钮 ,继续 单 击 “ 下 一 步 ”按钮 ,在 如 图 5-36 所 示 的 网 络 连接 方 
式 窗口 里 选择 “虚拟 专用 网 络 连接 ? 单 选 按钮 ; 接着 为 此 连接 命名 ,然后 单 击 “ 下 一 步 ”按钮 。 


网 络 连 接 
您 想 要 在 工作 点 如 何 与 网 络 连 接 ? 


创建 下 列 往 接 : 


口技 号 连接 @) 
[hep be 和 秆 :或 通过 综合 业务 数字 网 CSDID) 电话 线 连 


使 用 虚拟 专用 网 络 VPN) 通过 Internet 连接 到 网 络 。 


[< 上 =- 步 @ 


图 5-36 ”网络 连接 方式 设置 


(2) 在 确认 公用 网 络 已 连接 好 的 情况 下 , 单 击 “ 下 一 步 " 按 钮 ,在 弹出 的 “VPN 服务 器 选 
择 ” 窗 口中 ,输入 VPN 服务 端的 主机 名 或 IP 地 址 ; 单 击 " 下 一 步 " 按 钮 ,为 方便 操作 ,可 以 选 
中 “在 桌面 上 建立 快捷 方式 ”选项 , 单 击 “ 完 成 "按钮 即 会 先 出 现 如 图 5-37 所 示 的 VPN 连接 
对 话 框 ,输入 合法 的 用 户 账号 后 即 可 访问 VPN 服务 器 。 

(3) 共享 操作 。 连 接 到 服务 器 以 后 ,可 以 通过 “网 上 邻居 ”查找 VPN 服务 端 共享 目录 ， 
也 可 以 在 浏览 器 里 输入 VPN 服务 端 固定 IP 地 址 或 动态 域名 ,打开 共享 目录 资源 。 这 种 操 
作 就 如 同 在 局 域 网 内 的 操作 一 样 。 


用 户 名 QD: |aamin 
窗 码 @): [++ 


口 为 下 面 用户 保 存 用 户 名 和 密码 人 @): 


口 是 


图 5-37 VPN 连接 对 话 框 
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5.2.1 交换 机 的 基本 配置 


交换 是 按照 通信 两 端 传输 信息 的 需要 ,用 人 工 或 设备 自动 完成 的 方法 ,把 要 传输 的 信息 
送 到 符合 要 求 的 相应 路 由 上 的 技术 的 统称 。 交 换 机 就 是 一 种 在 通信 系统 中 完成 信息 交换 功 
能 的 设备 。 

1. 二 层 交 换 机 

二 层 交 换 机 属 数据 链 路 层 设备 ,可 以 识别 数据 包 中 的 MAC 地 址 信息 ,根据 MAC 地 址 
进行 转发 ,并 将 这 些 MAC 地 址 与 对 应 的 端口 记录 在 自己 内 部 的 一 个 地 址 表 中 。 二 层 交 换 
机 的 特性 包括 地 址 学 习 、 转 发 与 过 滤 以 及 避免 循环 等 。 二 层 交 换 机 的 工作 过 程 如 下 : 

(1) 当 交 换 机 从 某 个 端口 收 到 一 个 数据 包 后 , 它 先 读 取 包 头 中 的 源 MAC 地 址 ,这 样 它 
就 知道 源 MAC 地 址 的 机 器 是 连 在 哪个 端口 上 的 。 

(2) 再 去 读 取 包 头 中 的 目的 MAC 地址 ,并 在 地 址 表 中 查找 相应 的 端口 。 

(3) 如 表 中 有 与 这 目的 MAC 地 址 对 应 的 端口 ,把 数据 包 直 接 复制 到 这 个 端口 上 。 

(4) 如 表 中 找 不 到 相应 的 端口 , 则 把 数据 包 广 播 到 所 有 端口 上 , 当 目 的 机 器 对 源 机 器 回 
应 时 ,交换 机 又 可 以 学 习 一 目的 MAC 地 址 与 哪个 端口 对 应 ,在 下 次 传送 数据 时 就 不 再 需要 
对 所 有 端口 进行 广播 了 。 

不 断 地 循环 这 个 过 程 ,全 网 的 MAC 地 址 信息 都 可 以 被 学 习 到 ,二 层 交 换 机 就 是 这 样 建 
立 和 维护 它 自 己 的 地 址 表 的 。 

二 层 交 换 技术 从 网 桥 发 展 到 VLAN ,在 局 域 网 建设 和 改造 中 得 到 了 广泛 的 应 用 。 第 二 
层 交 换 技术 是 工作 在 数据 链 路 层 ,按照 所 接收 到 数据 包 的 目的 MAC 地址 来 进行 转发 ,对 于 
网 络 层 或 者 高 层 协议 来 说 是 透明 的 。 它 不 处 理 网 络 层 的 IP 地 址 ,不 处 理 高 层 协议 的 诸如 
TCP .UDP 的 端口 地 址 , 它 只 需要 数据 包 的 物理 地 址 即 MAC 地 址 ,数据 交换 是 靠 硬件 来 实现 
的 ,其 速度 相当 快 ,这 是 二 层 交 换 的 一 个 显著 的 优点 。 但 是 , 它 不 能 处 理 不 同 IP 子 网 之 间 的 数 
据 交换 。 传 统 的 路 由 器 可 以 处 理 大量 的 跨越 卫 子 网 的 数据 包 , 但 是 它 的 转发 效率 比 二 层 低 ， 
因此 要 想 利用 二 层 转 发 效率 高 这 一 优点 ,又 要 处 理 三 层 全数 据 包 ,三 层 交 换 技术 就 诞生 了 。 

2. 三 层 交 换 机 

第 三 层 交 换 工作 在 OSI 七 层 网 络 模 型 中 的 第 三 层 , 即 网 络 层 。 它 利用 第 三 层 协 议 中 的 
IP 包 的 包头 信息 来 对 后 续 数据 业务 流 进 行 标记 ,具有 同一 标记 的 业务 流 的 后 续 报 文 被 交换 
到 第 二 层 一 一 数据 链 路 层 , 从 而 打通 源 IP 地 址 和 目的 IP 地 址 之 间 的 一 条 通路 。 这 条 通路 
经 过 第 二 层 链 路 层 , 有 了 这 条 通路 ,三 层 交 换 机 就 没有 必要 每 次 将 接收 到 的 数据 包 进行 拆 包 
来 判断 路 由 ,而 是 直接 将 数据 包 进 行 转发 ,将 数据 流 进行 交换 。 

一 个 具有 三 层 交 换 功 能 的 设备 ,是 一 个 带 有 第 三 层 路 由 功能 的 二 层 交 换 机 ,但 它 是 二 者 
的 有 机 结合 ,并 不 是 简单 地 把 路 由 器 设备 的 硬件 及 软件 县 加 在 局 域 网 交换 机 上 。 三 层 交 换 
机 的 最 重要 目的 是 加 快 大 型 局 域 网 内 部 的 数据 交换 ,所 具有 的 路 由 功能 也 是 为 这 目的 服务 
的 ,能 够 做 到 一 次 路 由 ,多 次 转发 。 对 于 数据 包 转 发 等 规律 性 的 过 程 由 硬件 高 速 实现 ,而 像 
路 由 信息 更 新 .路 由 表 维 护 .路 由 计算 .路 由 确定 等 功能 ,由 软件 实现 。 


3. 交换 机 管理 的 方式 

可 管理 的 交换 机 通常 有 超级 终端 方式 .Telnet 方式 和 基于 Web 页 面 的 管理 方式 。 不 过 除 
了 超级 终端 可 以 实现 直接 管理 与 远程 管理 外 ,Telnet 方式 和 Web 页 面 方式 都 只 适用 于 远程 管 
理 ,并 且 必 须 借助 于 超级 终端 为 设备 指定 耳 地 址 ,登录 用 户 名 和 密码 等 可 网 管 信息 后 才能 实现 。 

1) 超级 终端 方式 

(1) 线路 连接 设置 

如 图 5-38 所 示 ,利用 Console 线 将 计算 机 的 串口 与 交换 机 的 Console 端口 连接 在 一 起 ， 
可 以 通过 计算 机 对 交换 机 进行 配置 。 

(2)“ 超 级 终端 "设置 

在 计算 机 上 需要 安装 一 个 终端 仿真 软件 来 登录 网 络 设备 ,通常 使 用 Windows 自 带 的 
“超级 终端 即 可 ,超级 终端 的 安装 方法 为 : 

依次 单 击 “ 开 始 ” 一 "程序 ”一 附件 ”一 ”通信 ?一 “超级 终端 >, 然后 按照 提示 的 步骤 进行 
安装 ,其 中 连接 的 接口 选择 “COM1”, 端 口 的 速率 选择 “9600”, 数 据 流 控制 选择 “无 *, 其 他 都 
使 用 默认 值 。 单 击 “ 确 定 ” 按 钮 后 ,可 显示 “超级 终端 "窗口 。 

接着 ,打开 交换 机 的 电源 ,连续 按 计算 机 的 回 车 键 即 可 显示 交换 机 系统 的 初始 化 界面 ， 
并 可 以 根据 需要 对 交换 机 进行 基本 的 设置 。 

(3) 运行 超级 终端 

在 如 图 5-39 所 示 的 “连接 到 ”对 话 框 中 的 “连接 时 使 用 ”下 拉 列 表 框 中 选择 TCP/IP 
(Winsock) 选 项 ,然后 在 “主机 地 址 "文本 框 中 输入 欲 配置 和 管理 的 远程 交换 机 的 管理 IP 地 
址 ,“ 端 口号 ”通常 采用 默认 值 。 

单 击 “ 确 定 ” 按 钮 后 会 显示 登录 页 面 ,输入 全 局 访问 密码 和 Enable 密码 后 即 可 进行 相应 
的 配置 。 


EE 
全. 
请 输入 要 呈 l 的 主机 的 详细 信息 
主机 地 址 0D 
端口 号 虽 : 因 = 
BE | i 连接 时 使 用 QD: [TCF/IP QWinsock) 
= 已 下 
图 5-38 计算 机 与 交换 机 Console 端口 的 连接 图 5-39 “连接 到 ”对 话 框 


2) Telnet 方式 

通过 一 台 连 接 在 网 络 中 的 计算 机 ,用 Telnet 命令 登录 网 络 设备 进行 配置 。 
(1) 远程 登录 条 件 

。 网 络 设备 已 经 配置 了 IP 地 址 、 远 程 登录 密码 和 特权 密码 。 

。 网 络 设备 已 经 连 入 网 络 工作 。 

。 计算 机 也 连 入 网 络 , 并 且 可 以 和 网 络 设 备 通信 。 
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(2) 远程 登录 方法 

在 计算 机 的 命令 行 中 ,输入 命令 “telnet 网 络 设备 IP 地 址 ”, 输 入 登录 密码 就 可 以 进入 
网 络 设备 的 命令 配置 模式 。 

3) Web 页 面 方式 

有 些 交换 机 支持 Web 页 面 配 置 方式 .可 以 通过 浏览 器 访问 交换 机 并 进行 配置 ,并 可 实 
时 查看 交换 机 的 运行 状态 。 通 过 Web 浏览 器 的 方式 进行 配置 的 方法 如 下 : 

(1) 把 计算 机 连接 在 交换 机 的 一 个 普通 端口 上 ,在 计算 机 Web 浏览 器 的 “地 址 ” 栏 中 输 
人 被 管理 交换 机 的 IP 地 址 或 为 其 指定 的 名 称 。 

(2) 分 别 在 * 用 户 名 ”和 “密码” 框 中 ,输入 拥有 管理 权限 的 用 户 名 和 密码 。 

(3) 单 击 “ 确 定 ” 按 钮 , 即 可 建立 与 被 管理 交换 机 的 连接 ,并 在 Web 浏览 器 中 显示 交换 机 
的 管理 界面 。 在 该 界面 中 输入 超级 用 户 的 账号 和 密码 后 就 可 以 通过 Web 界面 中 的 提示 ,一 步 
步 查 看 交换 机 的 各 种 参数 和 运行 状态 ,并 可 根据 需要 对 交换 机 的 某 些 参 数 作 必要 的 修改 。 

4) 其 他 方式 

除了 上 述 方式 以 外 ,还 有 其 他 一 些 配 置 交 换 机 的 方法 ,下 面 分别 介 绍 。 

(1) TFTP 服务 器 

TFTP 服务 器 是 网 络 中 的 一 台 计 算 机 ,可 以 把 网 络 设备 的 配置 文件 等 信息 备份 到 
TFTP 服务 器 之 中 ,也 可 以 把 备份 的 文件 传 回 到 网 络 设备 中 。 

由 于 设备 的 配置 文件 是 文本 文件 ,所 以 可 以 用 文本 编辑 软件 打开 进行 修改 ,再 把 修改 后 
的 配置 文件 传 回 网 络 设备 ,这 样 就 可 以 实现 配置 功能 。 可 以 用 TFTP 服务 器 把 一 个 已 经 做 
好 的 配置 文件 上 传 到 一 台 同 型 号 的 设备 中 实现 对 它 的 配置 。 

(2) SSH 

SSH 是 一 种 安全 的 配置 手段 ,其 功能 类 似 于 远程 登录 。 与 Telnet 不 同 的 是 ,SSH 传输 
中 所 有 信息 都 是 加 密 的 ,所 以 如 果 需 要 在 一 个 不 能 保证 安全 的 环境 中 配置 网 络 设备 ,最 好 使 
用 SSH。 

4. 交换 机 的 命令 行 (CLD 操 作 

(1) 命令 模式 

如 表 5-1 所 示 ,交换 机 的 命令 是 按 模式 分 组 的 ,每 种 模式 中 定义 了 一 组 命令 集 , 所 以 想 
要 使 用 某 个 命令 ,必须 先进 入 相应 的 模式 。 各 种 模式 可 通过 命令 提示 符 进行 区 分 ,命令 提示 
符 的 格式 是 : 提示 符 名 模式 。 

提示 符 名 一 般 是 设备 的 名 字 ,交换机 的 默认 名 字 是 Switch, 路 由 器 的 默认 名 字 是 Router， 
提示 符 模 式 表 明了 当前 所 处 的 模式 。 如 :“ 二 ”代表 用 户 模 式 ,“#” 代 表 特 权 模 式 。 


表 5-1 交换 机 的 命令 模式 


模 式 提 示 符 说 明 
User EXEC( 用 户 模式 ) 用 于 查看 系统 基本 信息 和 进行 基本 测试 
Privileged EXEC( 特 权 模 式 ) # 查看 ,保存 系统 信息 
Global configuration( 全 局 配置 模式 ) (config) 井 配置 设备 的 全 局 参数 
Interface configuration( 接 口 配 置 模式 ) (config-if) 井 配置 设备 的 各 种 接口 
Line configuration( 线 路 配置 模式 ) (config-line) # 配置 控制 台 、 远 程 登录 等 线路 


Config-vlan( VLAN 配置 模式 ) (config-vlan)# 配置 VLAN 参数 


(2) 命令 模式 的 切换 
交换 机 的 模式 大 体 可 分 为 四 层 : 用 户 模式 一 特权 模式 一 全 局 配置 模式 一 其 他 配置 模 
式 。 进 入 某 模式 时 ,需要 逐 层 进入 ,模式 切换 的 命令 如 表 5-2 所 示 。 


表 5-2 命令 模式 的 切换 命令 


要 求 命令 举例 说 明 

进入 用 户 模式 登录 后 就 进入 

进入 特权 模式 Switch> enable 在 用 户 模式 中 输入 enable 命令 

进入 全 局 配置 模式 Switch# configure terminal 在 特权 模式 中 输入 conf t 命 令 

进入 接口 配置 模式 Switch(config) # interface {0/1 在 全 局 配置 模式 中 输入 interface 命令 ,该 
命令 可 带 不 同 参数 

进入 线路 配置 模式 Switch(config) # line console 0 在 全 局 配置 模式 中 输入 line 命令 ,该 命令 
可 带 不 同 参数 

进入 VLAN 配置 模式 Switch(config)# vlan 3 在 全 局 配置 模式 中 输入 vlan 命令 ,该 命令 
可 带 不 同 参数 

退回 到 上 一 层 模式 Switch(config-if) # exit 用 exit 命令 可 退回 到 上 一 层 模式 

退回 到 特权 模式 Switch(Cconfig-if) # end 用 end 命令 或 按 Ctrl 十 Z 快捷 键 可 从 各 种 
配置 模式 中 直接 退回 到 特权 模式 

退回 到 用 户 模式 Switch# disable 从 特权 模式 退回 到 用 户 模式 


5. 交换 机 的 配置 

以 Cisco 的 交换 机 为 例 ,Cisco 的 交换 机 产品 以 Catalyst 为 商标 ,包含 1900、2800、2900、 
3500、4000、5000、5500、6000、8500 等 十 多 个 系列 。 总 的 来 说 ,这 些 交换 机 可 以 分 为 两 类 ， 
一 类 是 固定 配置 交换 机 ,包括 3500 及 以 下 的 大 部 分 机 型 ,除了 有 限 的 软件 升级 之 外 ,这 些 交 
换 机 不 能 扩展 ; 另 一 类 是 模块 化 交换 机 ,主要 指 4000 及 以 上 的 机 型 ,用 户 可 以 根据 网 络 的 
需求 ,选择 不 同 数目 和 型 号 的 接口 板 、 电 源 模块 及 相应 的 软件 。Catalyst 交换 机 基本 配置 命 
令 如 下 : 

(1) 设置 主机 名 /系统 名 


! 在 基于 IOS 的 交换 机 上 设置 主机 名 /系统 名 
switch(config) # hostname hostname 
! 在 基于 CLI 的 交换 机 上 设置 主机 名 /系统 名 


switch(enable) set system name name-string 


(2) 设置 登录 口令 
! 在 基于 IOS 的 交换 机 上 设置 登录 口令 


Switch(config) # enable password level 1 password 
! 在 基于 CLI 的 交换 机 上 设置 登录 口令 
switch(enable) set password 

switch(enable) set enablepass 


(3) 设置 远程 访问 


! 在 基于 IOS 的 交换 机 上 设置 远程 访问 第 
switch(config)# interface vlan 1 5 
Switch(config-if) 井 ip address ipraddress netmask 章 
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switch(config-if)# ip default-gateway ipraddress 

! 在 基于 CLI 的 交换 机 上 设置 远程 访问 : 

switch(enable) set interface sc0 ipraddress netmask broadcast-address 
switch(enable) set interface sc0 vlan 

switch(enable) set ip route default gateway 


(4) 浏览 CDP 信息 


! 在 基于 IOS 的 交换 机 上 启用 和 浏览 CDP 信息 

switch(config-if) # cdp enable 

switch(config-if) # no cdp enable 

! 查 看 Cisco 邻接 设备 的 CDP 通告 信息 

switch# show cdp interface [type module/port] 

switch# show cdp neighbors [type module/port] [detail] 

! 在 基于 CLI 的 交换 机 上 启用 和 浏览 CDP 信息 

switch(enable) set cdp {enable| disable} module/port 

! 查 看 Cisco 邻接 设备 的 CDP 通告 信息 

switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 


(5) 端口 描述 
! 基 于 IOS 的 交换 机 的 端口 描述 


switch(config-if) # description des criptiomstring 
! 基 于 CLI 的 交换 机 的 端口 描述 


switch(enable) set port name module/number des cription-string 


(6) 设置 端口 速度 


! 在 基于 IOS 的 交换 机 上 设置 端口 速度 

switch(config-if) # speed{101100|auto} 

! 在 基于 CLI 的 交换 机 上 设置 端口 速度 

switch(enable) set port speed module/number (10|100|auto} 
switch(enable) set port speed module/number (4|16|auto} 


(7) 设置 以 太 网 的 链 路 模式 


! 在 基于 IOS 的 交换 机 上 设置 以 太 网 的 链 路 模式 
switch(config-if) 井 duplex {auto|full| half} 


! 在 基于 CLI 的 交换 机 上 设置 以 太 网 的 链 路 模式 


switch(enable) set port duplex module/number (full|half} 


(8) 配置 静态 VLAN 


! 在 基于 IOS 的 交换 机 上 配置 静态 VLAN 
switch# vlan database 

Switch(vlan) # vlan vlarnum name vlan 

! 在 基于 CLI 的 交换 机 上 配置 静态 VLAN 
switch(enable) set vlan vlarnum [name name]| 


switch(enable) set vlan viarnum mod-num/ port-list 


5.2.2 VLAN 管理 


1. VLAN 的 概念 
VLAN 可 以 不 考虑 用 户 的 物理 位 置 ,而 根据 功能 、 应 用 等 因素 将 用 户 从 逻辑 上 划分 为 


一 个 个 功能 相对 独立 的 工作 组 ,每 个 用 户主 机 都 连接 在 一 个 支持 VLAN 的 交换 机 端口 上 并 
属于 一 个 VLAN。 一 个 VLAN= 一 个 广播 域 = 一 个 逻辑 网 段 ( 子 网 ), 同 一 个 VLAN 中 的 
成 员 都 共享 广播 ,形成 一 个 广播 域 , 而 不 同 VLAN 之 间 广 播 信息 是 相互 隔离 的 。 

一 般 来 说 ,如 果 一 个 VLAN 里 面 的 工作 站 发 送 一 个 广播 ,那么 这 个 VLAN 里 面 所 有 的 
工作 站 都 会 接收 到 这 个 广播 ,但 是 交换 机 不 会 将 广播 发 送 至 其 他 VLAN 上 的 任何 一 个 端 
口 。 如 果 要 将 广播 发 送 到 其 他 的 VLAN 端口 ,就 要 用 到 三 层 交换 机 。 当 然 ,VLAN 也 可 以 
在 不 同 的 交换 机 中 实现 , 跨 交换 机 的 VLAN 的 通信 要 通过 TRUNK 实现 。 

2. VLAN 的 类 型 

Cisco 交换 机 VLAN 的 实现 通常 是 以 端口 为 中 心 的 ,将 端口 分 配给 VLAN 有 静态 和 动 
态 两 种 方式 。 

(1) 静态 方式 : 将 端口 强制 性 地 分 配给 VLAN。 即 先 在 VTP (VLAN Trunking 
Protocol)Server 上 建立 VLAN ,然后 将 每 个 端口 分 配给 相应 的 VLAN 的 过 程 。 

(2) 动态 方式 : 动态 方式 由 端口 决定 自己 属于 哪个 VLAN。 即 先 建立 一 个 VLAN 管 
理 策 略 服务 器 (VLAN Membership Policy Server, VMPS) ,VMPS 里 面包 含 一 个 文本 文件 ， 
文件 中 存 有 与 VLAN 映射 的 MAC 地址 表 , 交 换 机 根据 这 个 映射 表决 定 将 端口 分 配给 哪个 
VLAN, 

3. VLAN 的 配置 

下 面 以 实例 介绍 创建 VLAN 的 命令 和 VLAN 实现 的 过 程 。 假 设 某 局 域 网 由 一 台 具 备 

:= 层 交换 功能 的 核心 交换 机 和 几 台 分 支 交 换 机 (不 一 定 具备 三 层 交 换 功 能 ) 组 成 。 核 心 交 换 
机 名 称 为 CORE; 分 支 交 换 机 分 别 为 : S1、S2、S3、…,VLAN 名 称 分 别 为 COUNT、 
MARKET MANAGE…。 

1) 设置 VTP DOMAIN 

VTP DOMAIN 称 为 管理 域 , 交 换 VTP 更 新 信息 的 所 有 交换 机 必须 配置 为 相同 的 管理 
域 。 如 果 所 有 的 交换 机 都 以 中 继 线 相连 ,那么 只 要 在 核心 交换 机 上 设置 一 个 管理 域 ,网 络 上 
所 有 的 交换 机 都 加 入 该 域 ,这 样 管理 域 里 所 有 的 交换 机 就 能 够 了 解 彼此 的 VLAN 列表 。 


CORE# vlan database ! 进 入 VLAN 配置 模式 
CORE(vlan)#vtp domain CORE ! 设 置 VTP 管理 域名 称 CORE 
CORE(vlan)# vtp Server ! 设 置 交换 机 为 服务 器 模式 


Sl#vlan database 

Sl(vlan)#vtp domain CORE 

Sl(vlan)#vtp Client ! 设 置 交换 机 为 客户 端 模式 
S2#vlan database 

S2(vlan)#vtp domain CORE 

S2(vlan)#vtp Client 

S3#vlan database 

S3(vlan)#vtp domain CORE 

S3Cvlan) # vtp Client 


交换 机 设置 为 Server 模式 是 指 允 许 在 本 交换 机 上 创建 修改、 删除 VLAN 及 其 他 一 些 
对 整个 VTP 域 的 配置 参数 ,同步 本 VTP 域 中 其 他 交换 机 传递 来 的 最 新 的 VLAN 信息 ; 
Client 模式 是 指 本 交换 机 不 能 创建 .删除 ,修改 VLAN 配置 ,也 不 能 在 NVRAM 中 存储 
VLAN 配置 ,但 可 以 同步 由 本 VTP 域 中 其 他 交换 机 传递 来 的 VLAN 信息 。 
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2) 配置 中 继 

为 了 保证 管理 域 能 够 覆盖 所 有 的 分 支 交 换 机 ,必须 配置 中 继 。Cisco 交换 机 能 够 支持 
任何 介质 作为 中 继 线 ,为 了 实现 中 继 可 使 用 其 特有 的 ISL 标签 。ISL(Inter-Switch Link) 是 
一 个 在 交换 机 之 间 、 交 换 机 与 路 由 器 之 间 及 交换 机 与 服务 器 之 间 传 递 多 个 VLAN 信息 及 
VLAN 数据 流 的 协议 ,通过 在 交换 机 直接 相连 的 端口 配置 ISL 封装 , 即 可 跨越 交换 机 进行 
整个 网 络 的 VLAN 分 配 和 配置 。 


在 核心 交换 机 端 配置 如 下 : 
CORE(config) # interface gigabitEthernet 2/1 
CORE(config-if) # switchport ! 把 端口 设置 为 2 层 模式 


CORE(config-if)# switchport trunk encapsulation isl 
CORE(config-if)# switchport mode trunk 
CORE(config) # interface gigabitEthernet 2/2 
CORE(config-if) # switchport 

CORE(config-if) # switchport trunk encapsulation isl 
CORE(config-if) # switchport mode trunk 
CORE(config) # interface gigabitEthernet 2/3 
CORE(config-if) # switchport 

CORE(config-if) # switchport trunk encapsulation isl 
CORE(config-if) # switchport mode trunk 


在 分 支 交 换 机 端 配置 如 下 : 


Sl(config) # interface gigabitEthernet 0/1 

Sl(config-if) # switchport mode trunk 

S2(config) # interface gigabitEthernet 0/1 

S2(config-if) # switchport mode trunk 

S3(config) # interface gigabitEthernet 0/1 

S3(config-if) # switchport mode trunk 

3) 创建 VLAN 

一 旦 建立 了 管理 域 ,就 可 以 创建 VLAN 了 ,下 面 创建 编号 分 别 为 10、11、12 的 VLAN: 
CORE(vlan)# Vlan 10 name COUNT ! 创 建 了 一 个 编号 为 10 名 字 为 COUNT 的 VLAN 
CORE(vlan)# Vlan 11 name MARKET 

CORE(vlan)# Vlan 12 name MANAGE 


这 里 的 VLAN 是 在 核心 交换 机 上 建立 的 ,其 实 只 要 是 在 管理 域 中 的 任何 一 台 VTP 属 
性 为 Server 的 交换 机 上 建立 VLAN, 它 就 会 通过 VTP 通告 整个 管理 域 中 的 所 有 的 交换 
机 。 但 是 如 果 要 将 交换 机 的 端口 划 入 某 个 VLAN ,就 必须 在 该 端口 所 属 的 交换 机 上 进行 
设置 。 

4) 将 交换 机 端口 划 入 VLAN 

要 将 S1、S2、S3… 分 支 交 换 机 的 端口 1 划 入 COUNT, 端 口 2 划 入 MARKET, 端 口 3 划 
和 人 MANAGE, 配 置 如 下 : 


Sl(config) # interface fastEthernet 0/1 
Sl(config-if) # switchport access vlan 10 


Sl(config) # interface fastEthernet 0/2 
Sl(config-if) # switchport access vlan 11 
Sl(config) # interface fastEthernet 0/3 


Sl(config-if) # switchport access vlan 12 


至 此 ,VLAN 已 经 基本 划分 完毕 ,但 VLAN 间 尚 不 能 实现 三 层 交换 ,还 需要 给 各 
VLAN 分 配 IP 地 址 。 

5) 配置 三 层 交 换 

假设 COUNT 的 了 P 地 址 为 172. 16. 10. 1/24 ,网 络 地 址 为 : 172. 16. 10. 0; MARKET 
的 IP 地 址 为 172. 16. 20. 1/24, 网 络 地址 为 172. 16. 20.0; MANAGE 的 IP 地 址 为 172. 16. 
30. 1/24 ,网络 地 址 为 172. 16. 30. 0。 如 果 动 态 分 配 IP 地 址 , 则 设 网 络 上 的 DHCP 服务 器 
IP 地 址 为 172. 16. 1. 55。 

(1) 给 VLAN 所 有 的 节点 分 配 静态 IP 地 址 

首先 在 核心 交换 机 上 分 别 设置 各 VLAN 的 接口 IP 地 址 ,方法 为 : 

rCORE(config) # interface vlan 10 


CORE(config-if)#ip address 172.16.10.1 255.255.255.0 !1VLAN10 接口 I P 
COM(config) # interface vlan 11 

CORE(config-if)#ip address 172.16.20.1 255.255.255.0 !VLAN11 接口 I P 
CORE(config)# interface vlan 12 

CORE(config-if)#ip address 172.16.30.1 255.255.255.0 !VLAN12 接口 I P 


再 在 各 接 入 VLAN 的 计算 机 上 设置 与 所 属 VLAN 的 网 络 地 址 一 致 的 IP 地 址 ,并 且 把 
默认 网 关 设 置 为 该 VLAN 的 接口 地 址 。 这 样 ,所 有 的 VLAN 也 可 以 互 访 了 。 

(2) 给 VLAN 所 有 的 节点 分 配 动态 IP 地 址 

首先 在 核心 交换 机 上 分 别 设 置 各 VLAN 的 接口 IP 地 址 和 DHCP 服务 器 的 IP 地 址 , 方 
法 为 : 


CORE(config)# interface vlan 10 


CORE(config-if)# ip address 172.16.10.1 255.255.255.0 !vlan 10 接口 IP 
CORE(config-if)#ip helperaddress 172.16.1.55 !1DHCP Server IP 
CORE(config)# interface vlan 11 

CORE(config-if)# ip address 172.16.20.1 255.255.255.0 !vlan 11 接口 IP 
CORE(config-if) 井 ip helper-address 172.16.1.55 !DHCP Server IP 
CORE(config)# interface vlan 12 

CORE(config-if)#ip address 172.16.30.1 255.255.255.0 !vlan 12 接口 IP 
CORE(config-if)#ip helper-address 172.16.1.55 !DHCP Server IP 


再 在 DHCP 服务 器 上 设置 网 络 地 址 分 别 为 172. 16. 10. 0,172. 16. 20. 0,172. 16. 30.0 
的 作用 域 , 并 将 这 些 作用 域 的 “路 由 器 ?选项 设置 为 对 应 VLAN 的 接口 IP 地址。 这 样 ,可 以 
保证 所 有 的 VLAN 也 可 以 互 访 了 。 

最 后 在 各 接 入 VLAN 的 计算 机 中 进行 网 络 设置 ,将 IP 地 址 选项 设置 为 自动 获得 全 地 | 区 
址 即 可 。 章 
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5.3 路 由 器 管理 


5.3.1 路 由 器 的 基本 配置 


1. 路 由 器 的 概念 

路 由 器 是 连接 Internet 中 各 局 域 网 .广域网 的 设备 , 它 会 根据 信道 的 情况 自动 选择 和 设 
定 路 由 ,以 最 佳 路 径 按 前 后 顺序 发 送信 号 。 路 由 的 传递 依赖 于 路 由 表 , 路 由 表 的 构建 是 由 路 
由 器 中 运行 的 路 由 协议 完成 的 。 常 见 的 路 由 协议 有 RIP、IGRP、OSPF 和 EIGRP 等 。 

路 由 器 根据 自己 的 路 由 表 来 选择 到 达 目 标 IP 地 址 的 最 佳 路 径 出 口 ,然后 重 定 向 数据 包 
第 二 层 的 帧 头 , 让 数据 包 发 往 下 一 跳 , 最 终 将 数据 发 送 到 目的 地 。 路 由 器 有 两 大 典型 功能 ， 
即 数据 通道 功能 和 控制 功能 。 数 据 通道 功能 包括 转发 决定 . 背 板 转发 以 及 输出 链 路 调度 等 。 
控制 功能 包括 与 相 邻 路 由 器 间 的 信息 交换 .系统 配置 和 系统 管理 等 。 

2. 路 由 器 的 组 成 与 启动 过 程 

1) 路 由 器 的 组 成 

与 计算 机 相似 ,路 由 器 也 是 由 硬件 系统 和 软件 系统 两 部 分 组 成 的 。 硬 件 系统 主要 由 中 央 
处 理 器 内存、 接口 以 及 控制 台 端口 等 物理 硬件 和 电路 组 成 ; 而 软件 系统 则 主要 由 路 由 器 的 
IOS 操作 系统 构成 。 与 计算 机 不 同 , 路 由 器 的 内 存 由 RAM、ROM.、FLASH 和 NVRAM 组 成 。 

。 RAM( 随 机 访问 存储 器 ): RAM 中 运行 着 Cisco IOS 的 镜像 文件 以 及 running- 
config 文件 。 
ROM( 只 读 存储 器 ): ROM 中 保存 着 最 基本 功能 的 代码 ,用 于 引导 路 由 器 。 

。FLASH( 闪 存 ): 一 种 可 擦 写 、 可 编程 的 存储 器 ,相当 于 计算 机 的 硬盘 。FLASH 中 

容纳 了 IOS 软件 的 镜像 文件 。 
。 NVRAM( 非 易 失 性 随机 访问 存储 器 ): NVRAM 用 来 存储 startup-config 文件 , 当 
切断 电源 时 ,NVRAM 用 一 个 电池 来 维护 其 中 的 数据 。 

2) 启动 过 程 

路 由 器 启动 过 程 可 以 分 为 以 下 几 步 : 

(1) POST( 加 电 自 检 ) ,检测 路 由 器 的 硬件 。 

(2) 装载 ROM 中 的 Bootstrap 代码 : 这 里 的 Bootstrap 代码 与 PC 的 BIOS 相似 ,用 了 
初始 化 时 启动 路 由 器 。 路 由 器 在 此 读 取 配置 寄存 器 的 内 容 以 决定 后 面 的 操作 。 

(3) 查找 IOS: 一 般 情 况 下 ,IOS 放 在 闪存 中 ,Bootstrap 会 告诉 路 由 器 放 在 哪里 ,如 果 
闪存 中 存在 多 个 镜像 文件 ,还 要 由 NVRAM 中 的 配置 文件 来 决定 加 载 哪个 镜像 文件 。 

(4) 装载 IOS: 将 IOS 装载 到 内 存 中 ,或 者 在 闪存 中 直接 加 载 。 

(5) 寻找 配置 文件 : 配置 文件 一 般 保 存在 NVRAM 中 。 有 时 候 , 用 户 可 以 将 路 由 器 设 
置 为 从 TFTP 服务 器 寻找 配置 文件 。 

(6) 装载 配置 ,最 后 正常 运行 。 

3. 路 由 器 的 命令 

1) 路 由 器 的 命令 模式 

路 由 器 的 命令 模式 与 交换 机 的 命令 模式 相似 ,如 表 5-3 所 示 。 


nl 


表 5-3 路 由 器 的 命令 模式 


模式 类 型 命令 提示 符 功能 说 明 访问 方法 


(4) 拷贝 命令 
用 于 IOS 及 CONFIG 的 备份 和 升级 ,拷贝 命令 功能 如 图 5-40 所 示 。 


退出 方法 
用 户 模式 > 执行 基本 测试 .显示 系统 信息 logout/ quit 
特权 用 户 模式 # 校 验 输入 的 命令 enble disable 
全 局 配置 模式 (config) # 将 配置 的 参数 应 用 于 整个 路 由 器 config terminal exit/*z 
端口 配置 模式 (Cconfig-if) 井 配置 端口 interface exit/end/*z 
虚拟 局 域 网 模式 〈config-vlan)# ”配置 vlan vlan ei 
进程 配置 模式 。 (config-line)# 为 line 模 式 管理 配置 参数 line vty exit/end/z 
2) 路 由 器 的 常用 命令 
(1) 帮助 
在 IOS 操作 中 ,无 论 任何 状态 和 位 置 ,都 可 以 输入 *?” 得 到 系统 的 帮助 。 
(2) 改变 命令 状态 
改变 命令 状态 的 常用 命令 如 表 5-4 所 示 。 
表 5-4 改变 命令 状态 命令 表 
任务 命令 
进入 特权 命令 状态 enable 
退出 特权 命令 状态 disable 
进入 设置 对 话 状态 setup 
进入 全 局 设置 状态 config terminal 
退出 全 局 设置 状态 end 
进入 端口 设置 状态 interface type slot/number 
进入 子 端口 设置 状态 interface type number. subinter face [ point-to-point | multipoint] 
进入 线路 设置 状态 line type slot /number 
进入 路 由 设置 状态 router protocol 
退出 局 部 设置 状态 exit 
(3) 显示 命令 ( 见 表 5-5) 
表 5-5 显示 命令 表 
任 务 命 令 
查看 版 本 及 引导 信息 show version 
查看 运行 设置 show running-config 
查看 开机 设置 show startup-config 
显示 端口 信息 show interface type slot/number 
显示 路 由 信息 show ip router 
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一 二 各 copy start mmiigNS running 


config [eo config 
copy running start 


TFTP Server 
图 5-40 拷贝 命令 配置 格式 及 应 用 示意 图 


(5) 基本 设置 命令 ( 见 表 5-6) 


表 5-6 基本 设置 命令 表 

任务 命令 
全 局 设置 config terminal 
设置 访问 用 户 及 密码 username username password password 
设置 特权 密码 enable secret password 
设置 路 由 器 名 hostname name 
设置 静态 路 由 ip route destination subnet-mask next-hop 
启动 IP 路 由 ip routing 
启动 IPX 路 由 ipx routing 
端口 设置 interface type slot /number 
设置 IP 地址 ip address address subnet-mask 
设置 IPX 网 络 ipx network network 
激活 端口 no shutdown 
物理 线路 设置 line type nwmber 
启动 登录 进程 login [local| tacacs server] 
设置 登录 密码 password password 


4. 静态 路 由 的 配置 
1) 静态 路 由 简介 


静态 路 由 是 管理 员 根据 网 络 的 情况 手动 在 路 由 器 中 配置 路 由 , 它 不 会 随 着 网 络 拓扑 结 
构 的 变化 而 动态 地 修改 ,静态 路 由 一 经 设 定 就 存在 于 路 由 表 中 ,在 网 络 结构 发 生变 化 后 , 管 


理 员 必 须 手 工 修改 路 由 表 。 


由 于 静态 路 由 不 能 对 网 络 的 改变 做 出 反应 ,因此 两 个 运行 静态 路 由 的 路 由 器 之 间 是 无 
需 进 行路 由 信息 交换 的 ,这 样 就 可 以 节省 网 络 的 带宽 、 提 高 路 由 器 CPU 和 内 存 的 利用 率 。 


静态 路 由 一 般 用 于 网 络 规模 不 大 ,拓扑 结构 固定 的 网 络 中 。 


静态 路 由 的 优点 是 简单 ,高效 可靠, 但 是 它 的 网 络 扩展 性 较 差 ,配置 繁琐 ,如 果 要 在 网 
络 上 增加 一 个 新 的 网 段 ,管理 者 必须 在 所 有 路 由 器 上 增加 相应 的 路 由 ,这 里 因为 静态 路 由 不 


能 随 网 络 拓扑 的 变化 而 自动 发 生变 化 ,因此 也 就 限制 了 静态 路 由 的 使 用 范 上 


丘 


。 静 态 路 由 和 


动态 路 由 有 各 自 的 特点 和 适用 范围 ,因此 静态 路 由 通常 作为 动态 路 由 的 补充 在 大 规模 的 复 


杂 网 络 中 使 用 。 当 一 个 数据 包 在 路 由 器 中 进行 寻 址 时 ,路 由 器 首先 查找 静态 路 由 ,如 果 查 到 
则 根据 相应 的 静态 路 由 转发 数据 ,否则 再 查找 动态 路 由 。 

2) 静态 路 由 的 配置 

通过 配置 静态 路 由 ,用 户 可 以 人 为 地 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 。 在 网 络 
结构 比较 简单 且 到 达 某 一 网 络 所 经 过 的 路 径 唯一 的 情况 下 采用 静态 路 由 。 静 态 路 由 的 命令 
格式 如 下 : 


ip route network[mask ] {address|interface) [distance] [tag tag][permanent] 
静态 路 由 中 各 参数 的 解释 如 表 5-7 所 示 。 
表 5-7 静态 路 由 中 相关 参数 的 解释 


命令 含 六 

network 所 要 到 达 的 目标 网 络 

mask 目标 网 络 的 子 网 掩 码 

address 下 一 跳 的 IP 地 址 , 即 相 邻 路 由 器 的 端口 卫 地 址 
interface 本 地 网 络 接口 ,通过 这 个 接口 可 到 达 目 标 网 络 
distance 管理 距离 (可 选 ) ,默认 为 1 

tag tag tag 值 ( 可 选 ) ,在 策略 路 由 中 ,作为 路 由 标记 
permanent 指定 路 由 条 目 在 路 由 表 中 永远 存在 


例 5-1 在 如 图 5-41 所 示 的 网 络 中 , 若 要 实现 两 个 网 络 的 通信 ,请 给 出 其 静态 路 由 的 配 
置 方法 。 


192.168.2.2/24 192.168.2.1/24 
e0 192.168.3.1/24 [> 二 各 -@B e0 192.168.1.1/24 
A B 


图 5-41 网 络 连 接 示 例 


! 路 由 器 A 的 静态 配置 

RouterA(config) # interface ethernet0 

RouterA(config-if)#ip address 192.168.3.1 255.255.255.0 
RouterA(config) # interface serial0 

RouterA(config-if)#ip address 192.168.2.2 255.255.255.0 
RouterA(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1 
! 路 由 器 B 的 静态 配置 

RouterB(config) # interface ethernet0 

RouterB(config-if) # ip address 192.168.1.1 255.255.255.0 
RouterB(config) # interface serial0 

RouterB(config-if) # ip address 192.168.2.1 255.255.255.0 
RouterB(config) # ip route 192.168.3.0 255.255.255.0 192.168.2.2 


3) 默认 路 由 的 配置 

默认 路 由 是 一 种 特殊 的 静态 路 由 , 指 的 是 当 路 由 表 中 与 包 的 目的 地 址 之 间 没 有 匹配 的 
表 项 时 路 由 器 能 够 做 出 的 选择 。 如 果 没 有 默认 路 由 器 ,那么 目的 地 址 在 路 由 表 中 没有 匹配 
表 项 的 包 将 被 丢弃 。 默 认 路 由 在 某 些 时 候 非常 有 效 , 当 存在 末梢 网 络 时 ,默认 路 由 会 大 大 简 
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化 路 由 器 的 配置 减轻 管理 员 的 工作 负担 ,提高 网 络 性 能 。 配 置 默认 路 由 的 命令 格式 如 下 : 
ip route network[mask ] (address|interface) [distance] [tag tag][permanent] 


例 5-2 在 例 5-1 中 ,因为 从 路 由 器 A 到 路 由 器 B 只 有 一 条 路 径 , 所 以 可 以 配置 默认 路 
由 ,方法 为 : 

RouterA(config) # interface ethernet0 

RouterA(config-if) 井 ip address 192.168.3.1 255.255.255.0 

RouterA(config) # interface serial0 

RouterA(config-if)#ip address 192.168.2.2 255.255.255.0 

RouterA(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 

路 由 器 B 的 配置 请 读者 自己 完成 。 

5. 动态 路 由 

1) 动态 路 由 简介 

动态 路 由 是 网 络 中 的 路 由 器 之 间 相 互通 信 、 传 递 路 由 信息 、 利 用 收 到 的 路 由 信息 更 新 路 
由 表 的 过 程 。 动 态 路 由 协议 随 网 络 拓扑 的 变化 而 动态 地 修改 它 的 路 由 表 , 通 过 动态 路 由 协 
议 的 相应 修改 ,路 由 器 可 以 保持 路 由 信息 的 一 致 性 ,因此 动态 路 由 能 够 实时 地 适应 网 络 结构 
的 变化 。 如 果 路 由 更 新 信息 表明 网 络 拓扑 发 生 了 变化 ,路 由 协议 就 会 重新 计算 路 由 表 以 动 
态 地 反映 网 络 拓扑 的 变化 。 

动态 路 由 适用 于 网 络 规模 较 大 、 网 络 拓扑 复杂 的 网 络 。 当 然 , 各 个 动态 路 由 协议 会 不 同 
程度 地 占用 网 络 带 宽 和 CPU 资源 。 

2) OSPF 协议 

开放 最 短路 径 协议 (Open Shortest Path First, OSPF) 是 一 个 内 部 网 关 协 议 (Interior 
Gateway Protocol,IGP) ,用 于 在 单一 自治 系统 (Autonomous System,AS) 内 决策 路 由 。 与 
RIP 相对 ,OSPF 是 链 路 状态 路 由 协议 ,而 RIP 是 距离 向 量 路 由 协议 。 

链 路 是 路 由 器 接口 的 另 一 种 说 法 ,因此 OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通过 
路 由 器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 , 生 成 最 短路 径 树 ,每 个 OSPF 路 由 
器 使 用 这 些 最 短路 径 构造 路 由 表 。 

(1) 有 关 命 令 

OSPF 配置 命令 如 表 5-8 所 示 。 其 中 ,OSPF 路 由 进程 process-id 必须 指定 范围 在 1 一 
65 535, 多 个 OSPF 进程 可 以 在 同一 个 路 由 器 上 配置 ,但 最 好 不 这 样 做 。 多 个 OSPF 进程 需 
要 多 个 OSPF 数据 库 的 副本 ,必须 运行 多 个 最 短路 径 算法 的 副本 。process-id 只 在 路 由 器 
内 部 起 作用 ,不 同 路 由 器 的 process-id 可 以 不 同 。wildcard-mask 是 子 网 掩 码 的 反 码 ,网 络 
区 域 ID areeid 在 0-4294967 295 内 的 十 进 制 数 ,也 可 以 是 带 有 了 P 地 址 格式 的 x. x. x. x。 当 网 
络 区 域 ID 为 0 或 0.0.0.0 时 为 主干 域 。 不 同 网 络 区 域 的 路 由 器 通过 主干 域 学 习 路 由 信息 。 

表 5-8 OSPF 配置 命令 


任 ” 务 命 令 
指定 使 用 OSPF 协议 router ospf process-idl 
指定 与 该 路 由 器 相连 的 网 络 network address wildcard-mask area area-id2 


指定 与 该 路 由 器 相 邻 的 节点 地 址 neighbor ipraddress 


(2) 基本 配置 示例 


例 5-3 如 图 5-42 所 示 , 网 络 中 的 各 种 参数 已 经 给 出 , 试 给 出 路 由 器 OSPF 协议 的 配置 


过 程 。 


Routerl ,~ 6 区 域 0 


S0: 人 
\192.200.10.5 Coat 192.200.10.6 \ 
0 /30 & 


BO EO 
192.1.0.130/26 192.1.0.66/26 
1 1 
Router3 
OT: Router4 


E0 2 
192.1.0.129/26 


图 5-42 OSPF 配置 示意 图 


!Routerl 的 配置 

interface ethernet 0 

ip address 192.1.0.129 255.255.255.192 
interface serial 0 

ip address 192.200.10.5 255.255.255.252 
router ospf 100 

network 192.200.10.4 0.0.0.3 area 0 
network 192.1.0.128 0.0.0.63 area 1 
!Router2 的 配置 

interface ethernet 0 

ip address 192.1.0.65 255.255.255.192 
interface serial 0 

ip address 192.200.10.6 255.255.255.252 
router ospf 200 

network 192.200.10.4 0.0.0.3 area 0 
network 192.1.0.64 0.0.0.63 area 2 
!Router3 的 配置 

interface ethernet 0 

ip address 192.1.0.130 255.255.255.192 
router ospf 300 

network 192.1.0.128 0.0.0.63 area 1 
!Router4 的 配置 

interface ethernet 0 

ip address 192.1.0.66 255.255.255.192 
router ospf 400 

network 192.1.0.640.0.0.63 area 1 


(3) 使 用 身份 验证 


出 于 安全 考虑 ,可 以 在 相同 OSPF 区 域 的 路 由 器 上 局 用 身份 验证 的 功能 ,只 有 经 过 身份 


验证 的 同一 区 域 的 路 由 器 才能 互相 通告 路 由 信息 。 


在 默认 情况 下 OSPF 不 使 用 区 域 验 证 。 通 过 纯 文 本 身份 验证 和 消息 摘要 (md5) 身 份 验 
证 两 种 方法 可 启用 身份 验证 功能 。 纯 文本 身份 验证 传送 的 身份 验证 口令 为 纯 文 本 , 它 会 被 
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网 络 探测 器 确定 ,所 以 不 安全 ,不 建议 使 用 。 而 消息 摘要 (md5) 身 份 验证 在 传输 身份 验证 口 
令 前 ,要 对 口令 进行 加 密 , 所 以 一 般 建 议 使 用 此 种 方法 进行 身份 验证 。 

使 用 身份 验证 时 ,区 域内 所 有 的 路 由 器 接口 必须 使 用 相同 的 身份 验证 方法 。 为 启用 身 
份 验证 ,必须 在 路 由 器 接口 配置 模式 下 为 区 域内 的 每 个 路 由 器 接口 配置 口令 ,身份 验证 的 命 
令 如 表 5-9 所 示 。 


表 5-9 身份 验证 配置 命令 


任务 命令 
指定 身份 验证 area area-id authentication [message-digest] 
使 用 纯 文 本 身份 验证 ip ospf authentication-key password 
使 用 消息 摘要 (md5) 身 份 验证 ip ospf message-digest-key keyid md5 key 
3) RIP 协议 


路 由 信息 协议 (Routing information Protocol,RIP) 是 应 用 较 早 、 使 用 较 普 遍 的 内 部 网 
关 协 议 (IGP) ,适用 于 小 型 同类 网 络 ,是 典型 的 距离 向 量 (distance-vector) 协 议 。 

RIP 通过 广播 UDP 报 文 来 交换 路 由 信息 ,每 30s 发 送 一 次 路 由 信息 更 新 。RIP 提供 跳 
跃 计数 Chop count) 作 为 尺度 来 衡量 路 由 距离 ,跳跃 计数 是 一 个 包 到 达 目 标 所 必须 经 过 的 路 
由 器 的 数目 。 如 果 到 相同 目标 有 两 个 不 等 速 或 不 同 带宽 的 路 由 器 ,但 跳跃 计数 相同 , 则 RIP 
认为 两 个 路 由 是 等 距离 的 。RIP 最 多 支持 的 跳 数 为 15, 即 在 源 和 目的 网 间 所 要 经 过 的 最 多 
路 由 器 的 数目 为 15 , 跳 数 16 表示 不 可 达 。 

(1) 有 关 命 令 

RIP 协议 的 配置 命令 如 表 5-10 所 示 。 

表 5-10 ”RIP 协议 配置 命令 


任 务 命 令 
指定 使 用 RIP 协议 router rip 
指定 RIP 版 本 version {1|2} 
指定 与 该 路 由 器 相连 的 网 络 network network 


(2) RIP 协议 配置 示例 
例 5-4 如 图 5-43 所 示 , 试 给 出 路 由 器 RIP 协议 配置 的 关键 语句 。 


Routerl 


192.200.10.1 192.200.10.2 ED 
SO(DCE) SO(DTE) 
E0:192.20.10.1 Router2 
/24 


图 5-43 ”RIP 配置 示意 图 


!Routerl 的 配置 的 关键 语句 
router Tip 

version 2 

network 192.200.10.0 
network 192.20.10.0 


其 余 详细 配置 由 读者 自己 完成 。 
5.3.2 ACL 管理 


1. 访问 控制 列表 (ACL) 

1) 什么 是 ACL 

ACL 实际 上 就 是 一 系列 允许 和 拒绝 匹配 准则 的 集合 ,简单 地 说 就 是 利用 这 些 准则 来 告 
诉 路 由 器 哪些 数据 包 可 以 接收 、 哪 些 数据 包 需 要 拒绝 。 至 于 数据 包 是 被 接收 还 是 被 拒绝 ,要 
根据 这 些 准则 中 所 定义 的 条 件 来 决定 。 匹 配 准则 的 种 类 繁多 ,可 以 是 数据 包 目 标 地 址 的 单 
项 目 匹 配 ,也 可 以 是 数据 包 目 标 地 址 、 源 地 址 \ 端 口 等 多 个 项 目的 综合 匹配 ,访问 控制 列表 对 
符合 匹配 规则 的 数据 包 进行 允许 和 拒绝 的 操作 。 

2) ACL 的 类 型 

(1) 标 准 访问 控制 列表 : 标准 访问 控制 列表 只 使 用 IP 数据 包 的 源 IP 地 址 作为 条 件 测 
试 。 通 常 允许 或 拒绝 的 是 整个 协议 簇 ,不 区 分 IP 流量 类 型 ,如 WWW、Telnet、UDP 等 
服务 。 

(2) 扩展 访问 控制 列表 : 扩展 访问 控制 列表 可 测试 IP 包 的 第 3 层 和 第 4 层 报 头 中 的 其 
他 字段 ; 可 测试 源 IP 地 址 和 目的 IP 地 址 、 网 络 层 的 报头 中 的 协议 字段 ,以 及 位 于 传输 层 报 
头 中 的 端口 号 。 

(3) 命名 访问 控制 列表 : 从 技术 上 来 说 ,ACL 实际 上 只 有 两 种 ,命名 访问 控制 列表 可 以 
是 标准 的 或 扩展 的 访问 控制 列表 ,并 不 是 一 种 真正 的 新 类 型 列表 。 它 们 的 创建 和 使 用 同 标 
准 的 和 扩展 的 访问 控制 列表 不 相同 ,但 功能 上 是 一 样 的 。 

3) ACL 的 配置 规则 

。 访问 控制 列表 的 编号 指明 了 使 用 何 种 访问 控制 列表 。 

。 每 个 端口 .每 个 方向 、 每 条 协议 只 能 对 应 一 条 访问 控制 列表 。 

。 访 问 控制 列表 的 内 容 决 定 的 数据 的 控制 顺序 。 

。 具有 严格 限制 的 语句 放 在 访问 控制 列表 中 所 有 语句 的 最 上 面 。 

。 在 访问 控制 列表 的 最 后 有 一 条 隐 含 声明 : deny any。 因 此 每 一 条 正确 的 访问 控制 列 

表 都 至 少 应 该 有 一 条 允许 语句 。 

。 先 创建 访问 控制 列表 ,然后 应 用 到 端口 上 。 

。 访问 控制 列表 不 能 过 滤 路 由 器 自己 产生 的 数据 。 

2. 标准 访问 控制 列表 

若 想 要 阻止 (允许 ) 来 自 某 一 网 段 的 所 有 通信 流量 ,或 要 拒绝 某 一 协议 簇 的 所 有 通信 流 
量 时 ,可 以 使 用 标准 ACL 实现 这 一 目标 。 标 准 ACL 通过 检查 被 路 由 数据 包 的 源 地 址 , 从 
而 拒绝 或 允许 基于 网 络 、 子 网 或 主机 IP 地 址 的 某 一 协议 簇 通 过 路 由 器 出 口 。 

标准 ACL 语法 如 下 : 

Router( config) # access-list access list-number (permit|deny)source [source-wildcard] [log] 

no ip access-list access-list-number ! 删 除 ACL 

Router(Cconfig-if) # ip access-group accesslist-number (in|out) ! 在 端口 上 应 用 ACL ,指明 进 或 出 方向 ， 


默认 为 出 方向 
no ip access-group accesslist-number ! 在 端口 上 删除 ACL 
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access-list 命令 中 参数 的 用 法 与 含义 如 表 5-11 所 示 。 
表 5-11 access-list 命令 中 参数 的 用 法 与 含义 


参 数 参数 说 明 
access-list-number 访问 控制 列表 号 ,用 来 指出 人 口 属于 哪 一 个 访问 控制 列表 (其 中 标准 ACL 为 1 一 
99 间 的 一 个 数 ) 
deny| permit 如 果 满 足 测 试 条 件 , 则 拒绝 | 接受 从 该 入 口 来 的 通信 流量 
source 数据 包 的 源 地 址 ,可 以 是 主机 IP 地 址 ,也 可 以 是 网 络 地 址 


Source wildcard (可 选 ) 通 配 符 掩 码 ,用 来 跟 源 地 址 一 起 决定 哪些 位 需要 匹配 操作 ,默认 为 0. 0.0.0 


log (可 选 ) 生 成 相应 的 日 志 信 息 ,用 来 记录 经 过 的 ACL 入 口 的 数据 包 的 有 关 情 况 


例 5-5 在 如 图 5-44 所 示 的 网 络 中 ,要 求 三 个 部 门 间 可 以 进行 通信 ; 销售 部 不 能 对 财 
务 部 进行 访问 ,但 经 理 部 可 以 对 财务 部 进行 访问 。 
Routerl 


FO Fl 
192.168.1.1/24 192.168.2.1/24 
销售 部 财务 部 

F2 


192.168.3.1/24 


图 5-44 标准 ACL 示例 


标准 ACL 参考 配置 为 : 

! 配 置 标准 ACL 

Routerl(config) # access-list 1 deny 192.168.1.0 0.0.0.255 ! 拒 绝 来 自 192.168.1.0 网 段 的 流量 通过 
Routerl (config) #access-list 1 permit 192.168.3.0 0.0.0.255 

! 将 ACL 应 用 在 相应 的 接口 


Routerl (config) # interface fastEthernet 1 
Routerl (config-if) # ip access-group 1 out 


例 5-6 在 实际 应 用 中 控制 远程 用 户 登 录 到 一 个 大 型 路 由 器 是 非常 困难 的 ,因为 路 由 器 
上 的 活动 端口 是 允许 访问 的 。 通 过 标准 ACL 可 以 控制 vty(Virtual Terminal ) 的 访问 ,方法 是 ， 
。 创建 标准 ACL, 只 允许 希望 访问 的 主机 登录 。 


。 使 用 access-class 命令 将 此 ACL 应 用 到 vty 线路 。 
参考 配置 如 下 : 


Router2(config)# access-list 2 permit 192.89.55.0 0.0.0.255 


Router2(config)# line vty 0 4 
Router2(config-line) # access-class 2 in 


3. 扩展 访问 控制 列表 

如 果 想 实现 更 加 精确 的 流量 控制 ,可 以 使 用 扩展 ACL。 扩 展 ACL 的 测试 条 件 既 可 以 
检查 数据 包 的 源 地 址 ,也 可 以 检查 数据 包 的 目的 地 址 。 此 外 ,在 每 个 扩展 ACL 条 件 判 断 语 
句 的 后 面部 分 ,还 通过 一 个 特定 的 参数 来 指定 一 个 可 选 的 TCP 或 UDP 的 端口 号 。 

扩展 ACL 的 语法 如 下 (有 关 参 数 如 表 5-12 所 示 ): 


Router (config ) # access-list accesslist-number {permit | deny} protocol source source-wildcard 


destination detinatiomwildcard [operator operand] [established] 


表 5-12 扩展 ACL 参数 说 明 


参 数 参数 说 明 
access-list-number 访问 控制 列表 号 ,用 100 一 199 间 的 一 个 数 标识 一 个 ACL 
deny| permit 如 果 满 足 测试 条 件 , 则 拒绝 | 接受 从 该 人 口 来 的 通信 流量 
protocol 协议 类 型 
source 和 destination 源 和 目的 ,标识 源 和 目的 地 址 
source-wildcard 和 destination-wildcard 通配符 掩 码 
operator operand lt.gt、eq、neq( 小 于 、 大 于 等 于 不 等 于 ) 一 个 端口 号 
established 如 果 数 据 包 使 用 一 个 已 建 连接 , 便 可 允许 TCP 信息 量 通过 


例 5-7 如 图 5-45 所 示 , 如 果 学 生 所 在 网 段 的 主机 不 能 使 用 FTP 服务 器 ,参考 扩展 
ACL 配置 如 下 : 

! 配 置 扩展 ACL 

! 禁 止 规定 网 段 对 服务 器 的 ftp 访问 

Router3(config) # access-list 101 deny tcp 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 eq ftp 

Router3(config) # access-list 101 permit ip any any ! 允 许 其 他 流量 通过 

! 将 ACL 应 用 在 相应 的 接口 

Router3(config) # interface fastEthernet 0 

Router3(config-if) # ip access-group 101 in 


172.16.20.0/24 
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图 5-45 扩展 ACL 示例 


4. 命名 访问 控制 列表 

命名 ACL 允许 在 标准 ACL 和 扩展 ACL 中 ,使 用 一 个 字母 数字 组 合 的 字符 串 ( 名 字 ) 
代替 前 面 所 使 用 的 数字 (1 一 199) 来 表示 ACL 表 号 。 命 名 ACL 可 以 用 来 从 ACL 中 删除 个 
别 的 控制 条 目 , 从 而 方便 对 ACL 的 修改 。 

命名 ACL 的 语法 为 

Router(Cconfig) 井 in access-list {standard |extended) name 

在 ACL 配置 模式 下 ,通过 指定 一 个 或 多 个 允许 及 拒绝 条 件 来 决定 一 个 数据 包 是 允许 
通过 还 是 丢弃 ,语法 格式 如 下 : 


Router(config {std-|ext-)}nacl) # {permit| deny) {source[source-wildcard] |any) 


5.3.3 网 络 地 址 转换 


1. NAT 概述 

1) 为 什么 需要 NAT 

私有 IP 地 址 只 能 用 于 内 部 寻 址 ,而 不 能 用 于 访问 外 部 资源 ,使 用 网 络 地 址 转换 
(Network Address Translate, NAT) 技 术 可 以 将 多 个 内 部 地 址 映射 成 少数 几 个 甚至 一 个 合 
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法 的 公 网 IP 地 址 ,让 内 部 网 络 中 使 用 私有 IP 地 址 的 设备 通过 “ 伪 IP” 访 问 Internet 等 外 部 资 
源 。NAT 技术 不 仅 很 好 地 解决 了 IPv4 地 址 枯竭 的 问题 ,而 且 给 网 络 带 来 了 一 定 的 安全 保障 。 
2) NAT 的 工作 原理 
如 图 5-46 所 示 ,NAT 将 网 络 分 为 内 、 外 两 部 分 ,位 于 内 部 网 络 和 外 部 网 络 边界 的 NAT 
路 由 器 执行 着 地 址 翻译 的 操作 。 二 
顾名思义 ,NAT 是 一 种 把 内 部 私有 网 络 地 址 翻译 成 合 
法 网 络 地 址 的 技术 。 简 单 地 说 ,NAT 就 是 在 局 域 网 内 部 使 1 


翻译 


用 私有 IP 地 址 , 当 需 要 与 外 部 网 络 进行 通信 时 ,就 在 网 关 NAT 一 9 合法 IP 地址 
处 将 内 部 地 址 替换 成 公用 地 址 。 通 过 使 用 NAT 技术 ,可 T 
以 只 申请 一 个 合法 人 P 地 址 ,就 把 整个 局 域 网 中 的 计算 机 接 mermel 或 其 他 外 部 问 络 


入 Internet 中 。 这 时 ,NAT 屏蔽 了 内 部 网 络 ,所 有 内 网 资 
源 对 于 公共 网 络 来 说 是 不 可 见 的 ,而 内 部 用 户 通 常 也 不 会 
意识 到 NAT 的 存在 。 

NAT 功能 通常 被 集成 到 路 由 器 \ 防 火 墙 .ISDN 路 由 器 或 者 单独 的 NAT 设备 中 。 网 络 
管理 员 只 需 在 路 由 器 的 IOS 中 设置 NAT 功能 ,就 可 以 实现 对 内 部 网 络 的 屏蔽 。 另 外 ,对 小 
型 企业 来 说 ,通过 软件 也 可 以 实现 这 一 功能 ,例如 5. 1.5 节 中 介绍 的 Windows Server 2003 
接 入 服务 中 也 包含 了 这 一 功能 。 

3) NAT 的 特点 

(1) 将 内 部 网 络 连接 到 Internet。NAT 可 以 用 少数 几 个 甚至 一 个 合法 的 IP 地 址 映射 
多 个 内 部 主机 地 址 ,这 样 就 可 大 大 减缓 合法 IP 地 址 耗 尽 的 问题 。 而 且 NAT 修改 了 数据 包 
的 源 地 址 ,使 外 部 设备 看 不 到 内 部 设备 的 地 址 ,因此 网 络 的 安全 性 也 得 到 了 一 定 的 保障 。 

(2) 当 变 更 ISP 时 ,虽然 ISP 分 配给 用 户 的 地 址 变 了 ,但 是 用 户 仍 无 须 改变 内 部 设备 的 
地 址 ,只 需 在 NAT 路 由 器 上 做 出 相应 的 修改 就 可 以 轻松 完成 网 络 的 升级 ,并 且 NAT 在 网 
络 合并 方面 也 有 着 很 大 的 应 用 场合 。 

(3) 支持 TCP 负载 均衡 。 通 过 使 用 NAT, 可 以 把 内 部 的 几 台 服务 器 捆绑 成 一 台 虚 拟 
服务 器 ,这 些 服务 器 在 外 部 设备 看 来 只 是 一 台 服 务 器 。 当 流量 进入 内 部 网 络 时 ,NAT 可 以 
在 这 几 台 服务 器 之 间 自 动 进行 分 流 ,这 样 就 增加 了 网 络 的 可 靠 性 。 

4) NAT 功能 存在 的 不 足 

虽然 NAT 为 网 络 带 来 了 不 少 好 处 ,但 是 NAT 也 存在 一 些 不 足 , 主 要 表现 为 ， 

(1) NAT 路 由 器 必须 保持 对 每 个 连接 状态 的 记录 。 对 于 每 次 翻译 的 流量 ,NAT 都 必 
须 记 住 其 转换 的 地 址 和 端口 ,所 以 当 NAT 设备 出 现 故障 或 NAT 邻近 的 链 路 出 现 故 障 时 ， 
路 由 难以 快速 收敛 。NAT 也 会 耗 尽 大 量 的 CPU 和 内 存 资源 ,进而 影响 网 络 的 性 能 和 数据 
包 的 处 理 , 大 大 增加 了 网 络 的 延 时 ,这 对 于 部 分 网 络 应 用 程序 也 是 不 可 接受 的 。 

(2) 在 进行 一 些 网 络 安全 的 设计 和 实施 时 ,一 些 加 密 方 法 必须 对 IP 包头 的 完整 性 进行 
校 验 , 这 样 就 要 求 包头 在 从 源 到 目的 地 址 之 间 传 输 时 不 能 被 改变 。 任 何在 路 途中 对 包头 部 
分 的 转换 都 会 破坏 完整 性 检查 ,而 NAT 重 写 了 第 三 层 包 头 信息 ,很 难 实现 IP 包头 的 完整 
性 。 因 此 在 做 IPSec VPN 时 ,IPSec 不 能 对 NAT 流量 实施 端 到 端的 安全 保护 。 

(3) NAT 只 能 支持 有 限 的 程序 ,NAT 支持 的 一 业 务 和 应 用 有 HTTP、TFTP、Telnet NTP、 
NFS、RCP、RSH、ACHIE、FTP、ICMP、DNS 等 。NAT 不 支持 的 IP 业务 和 应 用 有 BOOTP、 
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SNMP NETSHOW 等 ,特别 是 各 种 动态 路 由 协议 的 路 由 表 更 新 和 DNS 数据 库 的 相互 更 新 。 

2. NAT 的 类 型 

NAT 有 静态 NAT(Static NAT) ,动态 NAT(Pooled NAT) .端口 地 址 转换 PAT(Port 
Address Translation) 三 种 类 型 。 

(1) 静态 NAT 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公有 IP 地 址 时 ,IP 地 址 对 是 一 
对 一 的 ,是 一 成 不 变 的 , 某 个 私有 IP 地 址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 
以 实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 的 访问 。 

(2) 动态 NAT 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公有 IP 地 址 时 ,IP 地 址 是 不 确 
定 的 ,是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 的 合法 IP 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 
时 ,就 可 以 进行 动态 转换 。 动 态 转 换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合法 IP 
地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 的 方式 。 

(3) 端口 地 址 转换 PAT 是 指 改变 外 出 数据 包 的 源 端 口 并 进行 端口 转换 。 在 这 种 方式 
中 ,内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 ,实现 对 Internet 的 访问 ,从 而 可 以 
最 大 限度 地 节约 IP 地 址 资源 。 同 时 ,又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 
Internet 的 攻击 。 因 此 ,目前 网 络 中 应 用 最 多 的 就 是 端口 多 路 复 用 方式 。 

3. NAT 的 配置 

1) 静态 NAT 的 配置 

静态 NAT 配置 的 基本 步骤 如 下 : 

(1) 在 端口 配置 模式 下 指定 接口 为 内 部 端口 : 


ip nat inside 


(2) 在 端口 配置 模式 下 指定 接口 为 外 部 端口 : 


ip nat outside 
(3) 在 全 局 配置 模式 下 ,在 内 部 本 地 地 址 与 内 部 全 局 地 址 之 间 建 立 静 态 地 址 转换 : 
ip nat inside source static inside-local-address inside-global-address 


其 中 参数 inside-local-address 指定 内 部 本 地 地 址 ; inside-global-address 指定 内 部 全 
局 地 址 。 
例 5-8 实现 静态 NAT 地 址 转换 功能 。 将 {0/0 作为 内 部 端口 ,s0/0 作为 外 部 端口 ,其 
中 192. 168. 2.1,172.16.1.1 的 内 部 本 地 地 址 采用 静态 地 址 转换 ,其 内 部 合法 地 址 分 别 对 应 
194. 168. 1.1,194. 168. 1.2。 
配置 代码 如 下 : 
RouterA(config) # int {0/0 
RouterA(config-if)# ip address 192.168.2.1 255.255.255.0 
RouterA(config-if)# ip nat inside 
RouterA(config) # int s0/0 
RouterA(config-if)#ip address 172.16.1.1 255.255.255.0 第 
RouterA(config-if)#ip nat outside 5 
RouterA(config-if)# clock rate 64000 章 
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RouterA(config) # ip nat inside source static 192.168.2.1 194.168.1.1 
RouterA(config) # ip nat inside source static 192.168.2.2 194.168.1.2 
RouterA(config) ##ip route 0.0.0.0 0.0.0.0 s0/0 ! 设 置 默认 路 由 

2) 动态 NAT 的 配置 

动态 NAT 配置 的 基本 步骤 为 : 

(1) 在 端口 配置 模式 下 ,指定 接口 为 内 部 端口 : 


ip nat inside 


(2) 在 端口 配置 模式 下 ,指定 接口 为 外 部 端口 : 


ip nat outside 
(3) 在 全 局 配置 模式 下 ,定义 内 部 全 局 地 址 池 : 
ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} 
各 参数 的 说 明 见 表 5-13。 
表 5-13 参数 说 明 表 


参 数 说 明 
name 地 址 池 名 字 ,地址 池 名 在 路 由 器 上 应 该 是 唯一 的 
start-ip 定义 起 始 耳 地 址 ,地 址 池 范 围 的 起 始 地 址 
end-ip 定义 终止 IP 地 址 ,地 址 池 范 围 的 终止 地 址 
netmask netmask 子 网 掩 码 ,定义 地 址 池 中 地 址 的 子 网 掩 码 
prefix-length prefiz-length 定义 在 地 址 中 地 址 的 子 网 掩 码 的 位 数 , 即 前 缀 长 度 


(4) 在 全 局 配置 模式 下 ,定义 一 个 标准 的 access-list 以 允许 哪些 内 部 本 地 地 址 可 以 进 
行动 态 地 址 转换 : 

access-list access-list permit source source-wildcard 

其 中 ,accesslist 表示 访问 列表 号 ,其 标号 为 1 一 99 之 间 的 整数 ,source source-wildcard 
为 源 地 址 和 源 地 址 的 通配符 。 

(5) 在 全 局 配置 模式 下 ,在 内 部 的 本 地 地 址 与 内 部 的 全 局 地 址 之 间 复 用 动态 地 址 转换 ; 


ip nat inside source list{access list-number |name)} pool name 


其 中 ,access-list-number 表示 访问 列表 号 ,name 表示 地 址 池 的 名 字 。 

例 5-9 实现 动态 NAT 地 址 转换 功能 。 将 fo/0 作为 内 部 端口 ,其 地 址 为 192. 168. 2. 1; 
s0/0 作为 外 部 端口 ,其 地 址 为 200. 168. 10. 1; 其 中 200. 168. 10. 2 一 200. 168. 10. 12 为 合法 
地 址 池 ,其 内 部 地 址 为 192. 168. 2. 0。 

实现 本 例 要 求 的 配置 代码 如 下 : 

RouterA(config) # int {0/0 

RouterA(config-if)#1p address 192.168.2.1 255.255.255.0 

RouterA(config-if)# ip nat inside 

RouterA(config) # int s0/0 


RouterA(config-if)#ip address 200.168.10.1 255.255.255.0 
RouterA(config-if)#ip nat outside 


RouterA(config-if) # clock rate 64000 

RouterA(config) #ip nat pool pl 200.168.10.2 200.168.10.12 netmask 255.255.255.0 
RouterA(config) #1p nat inside source list 1 pool pl 

RouterA(config) #access-list 1 permit 192.168.2.0 0.0.0.255 

RouterA(config)#ip route 0.0.0.0 0.0.0.0 s0/0 


3) PAT 的 配置 
PAT 配置 的 基本 步骤 为 : 
(1) 在 端口 配置 模式 下 ,指定 接口 为 内 部 端口 : 


ip nat inside 


(2) 在 端口 配置 模式 下 ,指定 接口 为 外 部 端口 : 


ip nat outside 
(3) 在 全 局 配置 模式 下 ,定义 内 部 全 局 地 址 池 : 
ip nat pool name startip end-ip {netmask netmask | prefix-length prefizx-length} 


(4) 在 全 局 配置 模式 下 ,定义 一 个 标准 的 access-list 以 允许 哪些 内 部 本 地 地 址 可 以 进 
行 PAT: 


access-list access-list permit source source-wildcard 


其 中 ,access-list 表示 访问 列表 号 ,其 标号 为 1 一 99 之 间 的 整数 ,source source-wildcard 
为 源 地 址 和 源 地 址 的 通配符 。 
(5) 在 全 局 配置 模式 下 ,在 内 部 的 本 地 地 址 与 内 部 的 全 局 地 址 之 间 建 立 PAT: 


ip nat inside source list{access list-number |name)} pool name [overload] 


其 中 ,access-list-number 表示 访问 列表 号 ,name 表示 地 址 池 的 名 字 , overload 指定 
NAT 翻译 类 型 ,多 个 内 部 本 地 地 址 可 以 使 用 一 个 内 部 全 局 地 址 , 即 PAT。 

例 5-10 实现 动态 NAT 地 址 转换 功能 。 某 企业 从 ISP 获得 的 合法 地 址 范围 为 
192. 1. 1. 100 一 192. 1. 1. 200, 企 业内 部 有 销售 (sell) 、 财 务 (count) ,经 理 部 (manager) 和 临时 
公用 部 门 (temp)。 其 中 ,临时 公用 部 门 使 用 overload 技术 。 

实现 本 例 的 配置 代码 如 下 : 


interface Ethernet0 

ip address 172.18.150.150 255.255.0.0 

ip nat inside 

interface Serial0 

ip address 192.1.1.161 255.255.255.252 

ip nat outside 

! 定义 从 ISP 那里 申请 到 的 IP 在 企业 内 部 的 分 配 策略 。 

ip nat pool sell 192.1.1.100 192.1.1.120 netmask 255.255.255.0 
ip nat pool count 192.1.1.121 192.1.1.150 netmask 255.255.255.0 
ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0 
ip nat pool temp 192.1.1.155 192.1.1.160 netmask 255.255.255.0 
! 将 访问 列表 与 地 址 池 对 应 ,以 下 为 动态 地 址 转换 。 


ip nat inside source list 1 pool sell 
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ip nat inside source list 2 pool count 

ip nat inside source list 3 pool manager 

! 将 访问 列表 与 地 址 池 对 应 ,以 下 为 复 用 动态 地 址 转换 。 
ip nat inside source list 4 pool temp overload 

! 将 访问 列表 与 地 址 池 对 应 ,以 下 为 静态 地 址 转换 

ip nat inside source static 172.18.100.168 192.1.1.168 
ip nat inside source static 172.18.100.169 192.1.1.169 
ip route 0.0.0.0 0.0.0.0 Serial0 

! 内 部 网 访问 地 址 表 , 他 指出 内 部 网 络 能 访问 外 部 网 的 地 址 段 ,分 别 定义 是 为 了 对 应 不 同 的 地 址 池 。 
access-list 1 permit 172.18.101.0 0.0.0.255 

access-list 2 permit 172.18.105.0 0.0.0.255 

access-list 3 permit 172.18.108.0 0.0.0.255 

access-list 4 permit 172.18.112.0 0.0.0.255 


4) 基于 NAT 的 TCP 负载 均衡 的 配置 

(1) 基于 NAT 的 TCP 负载 均衡 技术 及 应 用 

NAT 翻译 都 是 从 内 到 外 的 翻译 , 即 对 内 部 主机 发 送 的 数据 包 的 源 地 址 进行 翻译 。 而 
NAT 在 TCP 负载 均衡 上 的 应 用 是 对 外 部 发 往 内 部 的 数据 包 的 目标 地 址 进行 翻译 。 

(2) 配置 方法 

Oz 在 端口 配置 模式 下 指定 接口 为 内 部 端口 : 


ip nat inside 


@ 在 端口 配置 模式 下 指定 接口 为 外 部 端口 : 


ip nat outside 


@ 在 全 局 配置 模式 下 ,定义 内 部 全 局 地 址 池 , 地 址 池 中 的 地 址 就 是 用 于 负载 均衡 的 内 
部 服务 器 的 内 部 地 址 : 


ip nat pool name start-ip end-ip (netmask netmask | prefix-length prefix-length}<type rotary 二 


参数 说 明 同 前 ,其 中 type rotary 可 选 参 数 , 指 示 在 发 生 TCP 负载 均衡 时 ,外 部 主机 按 
照 循环 的 方式 来 访问 虚拟 服务 器 所 代表 的 内 部 主机 。 

@ 在 全 局 配置 模式 下 ,定义 一 个 标准 的 access-list 以 允许 哪些 内 部 全 局 地 址 可 以 进行 
地 址 转换 : 


access-list access list-number permit source source-wildcard 


其 中 ,access-list-number 是 访问 列表 号 ,其 标号 为 1 一 99 之 间 的 整数 ; source source- 
wildcard 是 源 地 址 和 源 地 址 的 通配符 。 
在 全 局 配置 模式 下 ,在 内 部 的 本 地 地 址 与 内 部 全 局 地 址 之 间 建 立地 址 转换 : 


ip nat inside destination list{access list-number |name) pool name 


例 5-11 内 部 服务 器 192. 168. 1.1、192.168.1.2 和 192. 168. 1. 3 组 成 一 个 服务 器 组 ， 
它们 共同 虚拟 成 一 台 虚 拟 服务 器 202. 1. 23. 8, 当 外 部 主机 对 虚拟 服务 器 202. 1. 23. 8 进行 
访问 时 ,NAT 路 由 器 将 TCP 会 话 轮流 分 配给 这 个 服务 器 中 的 成 员 , NAT 以 循环 的 方式 将 
外 部 发 来 的 连接 的 目标 地 址 轮流 地 翻译 成 3 台 服 务 器 的 实际 内 部 地 址 ,由 3 台 服 务 共同 处 


理 外 部 主机 的 通信 。 
配置 步骤 如 下 


RouterA(config) # interface Ethernet0/0 
RouterA(config-if)#ip address 192.168.1.8 255.255.255.0 
RouterA(config-if)# ip nat inside 

RouterA(config) # interface Serial0/1 
RouterA(config-if)#ip address 172.16.1.1 255.255.255.0 
RouterA(config-if)#ip nat outside 

RouterA(config-if)# clock rate 64000 

RouterA(config)#ip nat pool V-ser 192.168.1.1 192.168.1.3 prefix-length 24 type rorary 
RouterA(config) # ip nat inside destination list pool V-ser 
RouterA(config) #access-list 1 permit 202.1.23.8 
RouterA(config) #ip route 0.0.0.0 0.0.0.0 Serial0/1 


5) 基于 NAT 服务 分 配 的 配置 

(1) 基于 NAT 服务 分 配 技术 及 应 用 

在 NAT 的 高 级 应 用 中 ,NAT 还 可 以 自动 地 根据 外 部 过 来 的 流量 类 型 将 不 同 的 流量 分 
发 给 内 部 的 各 个 应 用 服务 器 。 例 如 ,在 企业 网 络 中 ,可 以 将 Web、FTP、E-mail 等 服务 器 组 
成 一 台 虚 拟 服 务 器 ,外 部 网 络 只 能 看 到 这 台 虚 拟 服务 器 。 当 外 部 用 户 访 问 这 个 虚拟 服务 器 
时 ,NAT 路 由 器 会 根据 用 户 的 流量 类 型 自动 地 在 企业 内 部 的 几 台 服务 器 之 间 自 动 分 流 。 

(2) 配置 方法 

g@ 在 端口 配置 模式 下 指定 接口 为 内 部 端口 : 


ip nat inside 


@ 在 端口 配置 模式 下 指定 接口 为 外 部 端口 : 


ip nat outside 
@ 在 全 局 配置 模式 下 定义 内 部 本 地 服务 器 和 虚拟 服务 器 的 地 址 映射 以 及 端口 映射 : 


ip nat inside source static (tcp | udp} local-ip-address port-number global-ip address port-number 
{ertendable} 


参数 说 明 如 表 5-14 所 示 。 
表 5-14 参数 说 明 表 
参 数 说 明 
tcpludp 用 来 指定 访问 内 部 服务 器 所 使 用 的 传输 层 协议 (TCP 或 UDP) 
local-ip-address port-number 指定 内 部 服务 器 的 内 部 本 地 地 址 和 端口 号 
global-ip address port-number 指定 虚拟 服务 器 的 内 部 全 局 地 址 和 端口 号 


Extendable 指明 有 多 个 内 部 本 地 地 址 可 以 映射 到 一 个 内 部 全 局 地 址 上 ,此 命令 
为 可 选 , 如 果 不 加 ,系统 会 自动 蔡 用 户 输入 


例 5-12 一 企业 内 部 有 两 台 服务 器 ,一 台 是 Web 服务 器 ,其 内 部 本 地 地 址 为 192. 168. 2. 50; 
另 一 台 是 FTP 服务 器 ,本 地 地 址 是 192. 168. 2. 51; 这 两 台 服 务 器 共同 虚拟 在 同一 台 服 务 器 
206. 35: 35; 1 
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当 外 部 主机 访问 206. 35. 35.1 时 ,NAT 路 由 器 除了 检查 数据 包 的 目标 地 址 ,还 要 检查 
它 的 目标 端口 ,如 果 目 标 端口 是 80,NAT 路 由 器 查询 翻译 表 , 然 后 将 数据 包 的 目标 翻译 成 
HTTP 服务 器 地 址 192. 168. 2. 50; 如 果 端 口号 是 21, NAT 路 由 器 查询 翻译 表 , 然 后 将 数据 
包 的 目标 地 址 翻译 成 FTP 的 服务 器 地 址 192. 168. 2. 51。 因 此 ,基于 NAT 的 服务 分 配 可 以 
非常 灵活 地 部 署 企业 内 部 服务 器 ,也 可 以 大 大 节省 网 络 地 址 的 使 用 。 配 置 步骤 为 ; 


RouterA(config) # interface Ethernet0/0 

RouterA(config-if)#ip address 192.168.215.1 255.255.255.0 
RouterA(config-if)# ip nat inside 

RouterA(config) # interface Serial0/1 

RouterA(config-if)#ip address 192.168.1.1 255.255.255.0 
RouterA(config-if)# ip nat outside 

RouterA(config-if)# clock rate 64000 

RouterA(config) # ip nat inside source static tcp 192.168.2.51 21 
206.35.35.1 20 extendable 

RouterA(config) # ip nat inside source static tcp 192.168.2.50 80 
206.35.35.1 80 extendable 

RouterA(config) #ip route 0.0.0.0 0.0.0.0 Serial0/1 


5.3.4 VPN 管理 


1. VPN 技术 

VPN(Virtual Private Network ,虚拟 专用 网 ) 能 够 模拟 点 对 点 专用 链接 的 方式 ,通过 
Internet 或 Intranet 在 两 台 计 算 机 之 间 发 送 数据 ,是 "线路 中 的 线路 ,具有 良好 的 保密 性 和 
抗 干 扰 性 。 虚 拟 专用 网 提供 了 一 个 通过 公用 网 络 安全 地 对 企业 内 部 专用 网 络 进行 远程 访问 
的 连接 方式 ,是 对 企业 内 部 网 的 扩展 ,可 以 帮助 远程 用 户 、 企 业 分 支 机 构 .商业 伙伴 及 供应 商 
同 企业 的 内 部 网 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 。 在 虚拟 专用 网 中 的 主机 将 
不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 一 个 内 部 网 络 中 一 样 。 

VPN 大 致 可 以 分 为 远程 接 入 VPN 和 站 点 与 站 点 VPN 两 大 类 。 其 中 ,远程 接 入 VPN 又 
可 分 为 IPSec 和 SSL VPN 两 类 。 借 助 远 程 接 入 VPN, 用 户 可 以 远程 廉价 、 安 全 地 接 入 企业 网 
络 。 借 助 站 点 与 站 点 VPN 可 以 实现 分 支 机 构 和 远程 机 构 与 企业 总 部 的 远程 廉价 ,安全 连接 。 

利用 IPSec 提供 远程 接 入 能 够 建立 最 增强 型 的 可 定制 连接 。 利 用 IPSec 用 户 几 乎 可 以 
访问 任何 应 用 ,就 好 像 自 己 与 总 部 局 域 网 建立 了 实际 连接 一 样 。IPSec 远程 接 入 具有 高 度 
可 定制 性 ,利用 提供 的 API 管理 员 可 以 编写 执行 程序 及 其 他 定制 程序 。 

SSL VPN 只 使 用 Web 浏览 器 及 其 本 地 SSL 加 密 , 不 需要 预 装 VPN 客户 端 软件 ,就 能 
够 从 可 以 接 和 互联 网 的 任何 位 置 远程 访问 网 络 资源 。 利 用 Web VPN 能 够 容易 地 访问 多 种 
企业 应 用 ,包括 Web 资源 、Web 型 应 用 、Windows Active Directory 文件 共享 (Web 型 ) . 电 
子 邮 件 以 及 基于 TCP 的 其 他 应 用 ,例如 来 自 与 互联 网 相连 、 可 以 到 达 HTTP 互联 网 站 点 的 
任何 计算 机 的 Telnet 或 Windows 终端 服务 等 。 

2. VPN 的 配置 命令 

(1) 启 用 aaa( 验 证 ,授权 ,审计 ) 认 证 模式 


aaa new-model 


(2) aaa 认证 模式 和 方法 设置 


aaa authentication {login| ppp|enable} {default| 列 表 名 称 } {enable| krb5 |line|local|none| group radius 
|group tacacs 十 } 


其 中 ,login、ppp 和 enable 为 三 种 认证 模式 ; enable、 krb5、 line、 local、 none、 group 
radius、group tacacs 十 为 认证 方法 。 
(3) aaa 授权 模式 和 方法 配置 


aaa authorization {auth-proxy | network | exec | command level |reverse-access | configuration | ip 
mobile) {default|list-name) [methodl[method2..:] 


(4) 定义 ISAKMP 策略 
crypto isakmp policy number ! 最 后 的 数字 越 小 ,应 用 的 优先 级 越 高 。 
(5) 定义 组 


crypto isakmp client configuration group 组 名 


! 选 择 了 Local 授权 方式 ,必须 在 路 由 器 上 使 用 以 上 命令 定义 组 。 
(6) 定义 传输 数据 和 完整 性 验证 的 策略 

crypto ipsec transform-set 传输 集 名 esp-aes esp-sha-hmac 

(7) 定义 map 

crypto map 名 字 isakmp authorization list 列表 名 


3. VPN 的 配置 

例 5-13 下 面 以 实例 说 明 VPN 的 配置 过 程 。 

(1) 配置 IKE 

Internet 密 钥 交换 (IKE) 解 决 了 在 不 安全 的 网 络 环境 中 安全 地 建立 或 更 新 共享 密 钥 的 
问题 。IKE 可 用 于 协商 虚拟 专用 网 (VPN) ,也 可 用 于 远程 用 户 访问 安全 主机 或 网 络 ,支持 
客户 端 协商 。IKE 属于 一 种 混合 型 协议 ,由 Internet 安全 关联 和 密 钥 管理 协议 (ISAKMP) 
和 两 种 密 钥 交 换 协议 OAKLEY 与 SKEME 组 成 。 


router(config) # crypto isakmp enable ! 启 用 IKE( 默 认 是 启动 的 ) 

router(config)# crypto isakmp policy 100 ! 建 立 IKE 策略 ,优先 级 为 100 
router(config-isakmp) 站 authentication pre-share ! 使 用 预 共享 的 密码 进行 身份 验证 

router( config-isakmp) # encryption des ! 使 用 des 加 密 方式 

router(config-isakmp)# group 1 ! 指 定 密 钥 位 数 ,group 2 安全 性 更 高 ,但 更 耗 CPU 
router(config-isakmp)# hash md5 ! 指 定 hash 算法 为 MD5( 其 他 方式 : sha,rsa) 
router(config-isakmp) # lifetime 86400 ! 指 定 SA 有 效 期 时 间 , 默 认 86400 秒 ,两 端 要 一 致 


(2) 配置 密 钥 Keys 


router(config) 井 crypto isakmp key cisco1234 address 10.0.0.2 
! 设 置 要 使 用 的 预 共享 密 钥 ,并 指定 VPN 另 一 端 路 由 器 的 IP 地 址 


(3 ) 配 置 IPSec 


router(config) # crypto ipsec transform-set abc esp-des esp-md5-hmac 
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! 配 置 IPSec 交换 集 abc 

router(Cconfig) 井 crypto ipsec security-association lifetime 86400 

!IPSec 安全 关联 存活 期 ,也 可 不 配置 ,在 下 面 的 map 里 指定 即 可 

router(config) # access-list 110 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 
router(config) # access-list 110 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 


(4) 配置 IPSec 加 密 映 射 


router(config) 井 crypto map mymap 100 ipsec-isakmp ! 创 建 加 密 图 

router( config-crypto-map)# match address 110 ! 用 ACL 来 定义 加 密 的 通信 
router( config-crypto-map)# set peer 10.0.0.2 ! 标 识 对 方 路 由 器 IP 地 址 

router( config-crypto-map)# set transform-set abc ! 指 定 加 密 图 使 用 的 IPSec 交换 集 


router( config-crypto-map) # set security-association lifetime 86400 
router( config-crypto-map)# set pfs group 1 


(5) 应 用 加 密 图 到 接口 


router(config)# interface ethernet0/1 


router( config-if) # crypto map mymap 


5.4 网 络 隔离 设备 管理 


面 对 新 型 网 络 攻击 手段 的 出 现 和 高 安全 度 网 络 对 安全 的 特殊 需求 ,全 新 安全 防护 防范 
理念 的 网 络 安全 技术 一 一 “网 络 隔离 技术 ”应 运 而 生 。 网 络 隔离 技术 的 目标 是 确保 隔离 有 害 
的 攻击 ,在 可 信和 网 络 之 外 和 保证 可 信和 网 络 内 部 信息 不 外 汇 的 前 提 下 ,完成 网 间 数 据 的 安全 
交换 。 


5.4.1 网 络 隔离 


1. 网 络 隔离 的 概念 

网 络 隔离 主要 是 指 把 两 个 或 两 个 以 上 可 路 由 的 网 络 通过 不 可 路 由 的 协议 (如 IPX/ 
SPX .NetBEUI 等 ) 进 行 数据 交换 而 达到 隔离 的 目的 。 由 于 其 原理 主要 是 采用 了 不 同 的 协 
议 , 所 以 通常 也 叫 协议 隔离 。1997 年 ,信息 安全 专家 Mark Joseph Edwards 在 他 编写 的 
《Understanding Network Security) 一 书 中 ,就 对 协议 隔离 进行 了 归 类 。 在 书 中 他 明确 地 指 
出 了 协议 隔离 和 防火 墙 不 属于 同类 产品 。 

2. 网 络 隔离 技术 的 发 展 

隔离 概念 是 在 为 了 保护 高 安全 度 网 络 环境 的 情况 下 产生 的 。 隔 离 产品 的 大 量 出 现 , 也 
是 经 历 了 五 代 隔 离 技术 不 断 的 实践 和 理论 相 结合 后 得 来 的 。 

第 一 代 隔 离 技 术 一 一 完全 的 隔离 。 此 方法 使 得 网 络 处 于 信息 孤岛 状态 ,做 到 了 完全 的 
物理 隔离 ,需要 至 少 两 套 网 络 和 系统 ,更 重要 的 是 信息 交流 的 不 便 和 成 本 的 提高 ,给 维护 和 
使 用 带 来 了 极 大 的 不 便 。 

第 二 代 隔 离 技术 一 一 硬件 卡 隔离 。 在 客户 端 增加 一 块 硬件 卡 , 客 户 端 硬盘 或 其 他 存储 
设备 首先 连接 到 该 卡 ,然后 再 转 接 到 主板 上 ,通过 该 卡 能 控制 客户 端 硬盘 或 其 他 存储 设备 。 
而 在 选择 不 同 的 硬盘 时 ,同时 选择 了 该 卡 上 不 同 的 网 络 接口 ,连接 到 不 同 的 网 络 。 但 是 ,这 
种 隔离 产品 有 的 仍然 需要 网 络 布线 为 双 网 线 结构 ,产品 存在 着 较 大 的 安全 隐患 。 


第 三 代 隔 离 技术 一 一 数据 转播 隔离 。 利 用 转播 系统 分 时 复制 文件 的 途径 来 实现 隔离 ， 
切换 时 间 非 常 之 长 ,甚至 需要 手工 完成 ,不 仅 明显 地 减缓 了 访问 速度 ,更 不 支持 常见 的 网 络 
应 用 ,失去 了 网 络 存在 的 意义 。 

第 四 代 隔 离 技术 一 一 空气 开关 隔离 。 它 是 通过 使 用 单刀 双 掷 开关 ,使 得 内 外 部 网 络 分 
时 访问 临时 缓存 器 来 完成 数据 交换 的 ,但 在 安全 和 性 能 上 存在 有 许多 问题 。 

第 五 代 隔 离 技 术 一 一 安全 通道 隔离 。 此 技术 通过 专用 通信 硬件 和 专 有 安全 协议 等 安全 
机 制 ,来 实现 内 外 部 网 络 的 隔离 和 数据 交换 ,不 仅 解决 了 以 前 隔离 技术 存在 的 问题 ,并 有 效 
地 把 内 外 部 网 络 隔离 开 来 ,而 且 高 效 地 实现 了 内 外 网 数据 的 安全 交换 ,透明 支持 多 种 网 络 应 
用 ,成 为 当前 隔离 技术 的 发 展 方向 。 

3. 网 络 隔离 的 原理 

第 五 代 隔 离 技 术 的 实现 原理 是 通过 专用 通信 设备 . 专 有 安全 协议 和 加 密 验 证 机 制 及 应 
用 层 数据 提取 和 鉴别 认证 技术 ,进行 不 同安 全 级 别 网 络 之 间 的 数据 交换 ,彻底 阻 断 了 网 络 间 
的 直接 TCP/IP 连接 ,同时 对 网 间 通 信和 的 双方 、 内 容 、 过 程 施 以 严格 的 身份 认证 .内 容 过 滤 、 
安全 审计 等 多 种 安全 防护 机 制 , 从 而 保证 了 网 间 数 据 交换 的 安全 、 可 控 , 杜 绝 了 由 于 操作 系 
统 和 网 络 协议 自身 漏洞 带 来 的 安全 风险 。 


5.4.2 网 络 隔离 设备 


1. 物理 隔离 

所 谓 * 物 理 隔 离 ” 是 指 内 部 网 不 直接 或 间接 地 连接 公共 网 。 物 理 隔离 的 目的 是 保护 路 由 
器 、 工 作 站 、 网 络 服务 器 等 硬件 实体 和 通信 和 链 路 免 受 自然 灾害 、 人 为 破坏 和 搭 线 窃听 攻击 。 
只 有 使 内 部 网 和 公共 网 物理 隔离 ,才能 真正 保证 内 部 网 络 不 受 来 自 互 联网 的 黑客 攻击 。 此 
外 ,物理 隔离 也 为 内 部 网 划 定 了 明确 的 安全 边界 ,使 得 网 络 的 可 控 性 增强 ,便于 内 部 管理 。 
物理 隔离 常见 的 方式 有 物理 安全 隔离 卡 ,物理 隔离 集线器 ,物理 隔离 网 六 等 。 

(1) 物理 安全 隔离 卡 

物理 安全 隔离 卡 是 物理 隔离 的 低级 实现 形式 ,一 个 物理 安全 隔离 卡 只 能 管 一 台 个 人 计 
算 机 ,甚至 只 能 在 Windows 环境 下 工作 ,每 次 切换 都 需要 开关 机 一 次 。 物 理 安全 隔离 卡 的 
功能 即 是 以 物理 方式 将 一 台 PC 虚拟 为 两 个 计算 机 ,实现 工作 站 的 双重 状态 , 既 可 在 安全 状 
态 , 又 可 在 公共 状态 ,两 个 状态 是 完全 隔离 的 ,从 而 使 一 台 工作 站 可 在 完全 安全 状态 下 联接 
内 、 外 网 。 物 理 安全 隔离 卡 实际 是 被 设置 在 PC 中 最 低 的 物理 层 上 ,通过 卡 上 一 边 的 IDE 总 
线 连接 主板 , 另 一 边 连 接 IDE 硬盘 ,内 、 外 网 的 连接 均 须 通过 网 络 安全 隔离 卡 。PC 硬盘 被 
物理 分 隔 成 为 两 个 区 域 ,在 IDE 总 线 物 理 层 上 ,在 固件 中 控制 磁盘 通道 ,在 任何 时 候 , 数 据 
只 能 通 往 一 个 分 区 。 

在 安全 状态 时 ,主机 只 能 使 用 硬盘 的 安全 区 与 内 部 网 连接 ,而 此 时 外 部 网 连接 是 断 开 
的 , 且 硬 盘 的 公共 区 的 通道 是 封闭 的 。 在 公共 状态 时 ,主机 只 能 使 用 硬盘 的 公共 区 ,可 以 与 
外 部 网 连接 ,而 此 时 与 内 部 网 是 断 开 的 , 且 硬 盘 安 全 区 也 是 被 封闭 的 。 

(2) 物理 隔离 集线器 

物理 隔离 集线器 也 称 作 网 络 安全 隔离 (hub) ,是 一 种 多 路 开关 切换 设备 , 它 与 物理 安全 
隔离 卡 配 合 使 用 。 它 具有 标准 的 RJ-45 接口 ,入 口 与 物理 安全 隔离 卡 相 连 ,出 口 分 别 与 内 、 
外 网 络 的 hub 相连 。 它 检测 物理 安全 隔离 卡 发 出 的 特殊 信号 ,识别 出 所 连接 的 计算 机 , 自 
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动 将 其 网 络 线 切 换 至 相应 的 网 络 hub 上 。 实 现 多 台独 立 的 安全 计算 机 与 内 外 两 个 网 络 的 
安全 连接 以 及 自动 切换 ,进一步 提高 了 系统 的 安全 性 ,并 且 解 决 了 多 网 布线 问题 ,可 以 让 连 
接 两 个 网 络 的 安全 计算 机 只 通过 一 条 网 络 线 即 可 与 多 网 切换 连接 。 对 现存 网 络 改 进 有 较 大 
帮助 。 

(3) 物理 隔离 网 闻 

物理 隔离 网 闸 , 是 利用 双 主机 形式 ,从 物理 上 来 隔离 阻 断 洪 在 攻击 的 连接 。 其 中 包括 一 
系列 的 阻 断 特征 ,如 没有 通信 连接 ,没有 命令 ,没有 协议 ,没有 TCP/IP 连接 ,没有 应 用 连接 
没有 包 转 发 ,只 有 文件 “摆渡 ”, 对 固态 介质 只 有 读 和 写 两 个 命令 。 其 结果 是 无 法 攻击 ,无 法 
人 侵 ,无 法 破坏 。 

物理 隔离 网 闸 的 硬件 主要 包括 三 部 分 ,分 别 是 专用 安全 隔离 切换 装置 (数据 暂 存 区 ) 、 内 
部 处 理 单元 和 外 部 处 理 单元 。 系 统 中 的 专用 安全 隔离 切换 装置 分 别 连接 内 部 处 理 单元 和 外 
部 处 理 单元 。 这 种 独特 和 巧妙 的 设计 ,保证 了 安全 隔离 切换 装置 中 的 数据 暂 存 区 在 任 一 时 
刻 仅 连通 内 部 处 理 单元 或 者 外 部 处 理 单元 ,从 而 实现 内 外 网 的 安全 隔离 。 

2. 逻辑 隔离 器 

逻辑 隔离 器 也 是 一 种 不 同 网 络 间 的 隔离 部 件 ,被 隔离 的 两 端 仍然 存在 物理 上 数据 通道 
连 线 , 但 通过 技术 手段 保证 被 隔离 的 两 端 没有 数据 通道 , 即 迎 辑 上 隔离 。 一 般 使 用 协议 转 
换 、 数 据 格式 剥离 和 数据 流 控制 的 方法 ,在 两 个 逻辑 隔离 区 域 中 传输 数据 ,并 且 传 输 的 方向 
是 可 控 状 态 下 的 单 向 。 不 能 在 两 个 网 络 之 间 直 接 进行 数据 交换 。 


5.4.3 网 络 隔离 方案 


1. 单 内 网 解决 方案 

如 图 5-47 所 示 ,这 种 方案 适合 小 型 的 单 网 结构 的 局 域 网。 在 一 些小 规模 的 部 门 中 ， 
由 于 功能 比较 单一 ,没有 必要 划分 几 个 网 络 ,同时 为 节约 成 本 ,只 有 部 分 工作 站 节点 需要 
单独 通过 Modem 等 拨号 设备 接 入 Internet。 这 样 可 以 在 需要 接 入 Internet 的 工作 站 节点 
计算 机 上 安装 物理 隔离 产品 ,让 其 能 够 在 与 网 络 隔离 的 状态 下 拨号 上 网 ,确保 网 络 的 
安全 。 
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5-47 单 内 网 解决 方案 示意 图 


2. 双 布 线 双 网 解决 方案 

如 图 5-48 所 示 ,这 种 方案 适合 中 大 型 机 构 的 局 域 网 布局 ,在 这 里 , 某 个 机 构 内 的 网 络 分 
为 内 部 涉 密 网 和 公共 网 ,其 中 公共 网 通过 集中 出 口 连 接 Internet( 视 需要 也 要 安装 防火 墙 、 
入 侵 检 测 及 防 病毒 等 措施 ) ,部 分 计算 机 需要 能 够 接 人 两 个 网 络 , 但 同时 又 要 保证 内 外 网 的 
完全 物理 隔离 。 还 有 一 些 机 构 的 网 络 由 于 内 部 功能 的 划分 ,本 身 就 有 几 个 分 离 的 网 络 ,采用 
物理 隔离 方法 将 更 好 地 把 这 些 网 络 整合 在 一 起 , 变 为 一 个 全 范围 公共 网 加 上 几 个 内 部 安全 
子 网 的 多 网 互动 的 有 效 网 络 格局 。 
内 网 服务 器 
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图 5-48” 双 布线 双 网 解决 方案 示意 图 
3. 单 布线 连接 双 网 方案 
如 图 5-49 所 示 ,物理 隔离 集线器 与 安装 了 物理 安全 隔离 卡 的 安全 计算 机 配合 使 用 可 以 
满足 对 单 网 布线 的 要 求 , 即 桌面 计算 机 只 用 一 条 网 线 就 可 连接 到 远 端 的 双 网 上 。 如 果 用 户 
因 某 种 原因 无 法 使 用 双 网 布线 时 ,可 采用 此 方案 。 
内 网 1 服务 器 内 网 2 服务 器 外 网 服务 器 
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5.5 电源 管理 


目前 ,UPS 已 经 成 了 企业 网 络 中 不 可 或 缺 的 重要 组 成 部 分 。 当 市 电 不 稳 或 停电 时 ， 
UPS 可 以 提供 安全 的 供电 保证 ,保障 网 络 设备 的 正常 运行 。UPS 虽然 可 以 在 市 电 发 生 异 常 
时 使 网 络 设备 免 于 遭受 突然 断 电 的 危险 ,但 并 不 意味 着 可 以 就 此 高 枕 无 忧 了 。URPS 备用 的 
时 间 是 有 限 的 , 当 UPS 电 池 储存 的 电能 耗 尽 时 ,同样 会 导致 网 络 的 瘫痪 ,所 以 掌握 UPS 的 
供电 情况 ,需要 对 UPS 进行 管理 和 监视 。 


5.5.1 UPS 智能 化 管理 工具 


1. Winpower 简介 

Winpower 是 山特 UPS 监控 软件 , 它 既 支持 单 台 独立 的 计算 机 ,也 支持 在 网 络 内 的 所 
有 计算 机 。 

Winpower 用 于 监控 UPS ,保证 计算 机 系统 不 会 因为 市 电 的 故障 而 遭 到 损坏 。 通 过 
Winpower 软件 ,用 户 可 以 在 一 台 计 算 机 上 监控 局 域 网 内 任意 一 台 UPS; 通过 Winpower 软 
件 , 一 台 UPS 同时 可 以 对 网 络 上 多 台 计 算 机 提供 安全 保护 ,包括 在 市 电 故 障 时 安全 关闭 系 
统 、 保 存 应 用 程序 数据 、 关 闭 UPS 等 。 

2. Winpower 的 结构 组 成 

Winpower 包括 Agent( 代 理 )、Monitor( 监视 器 ) 和 任务 栏 图 标 三 部 分 。 

(1) Agent 是 Winpower 的 核心 ,作为 系统 的 一 个 服务 程序 运行 在 后 台 。Asgent 负责 与 
UPS 进行 通信 ,记录 UPS 事件 ,通知 用 户 异常 事件 的 发 生 , 根 据 用 户 要 求 采取 某 些 措 施 , 需 
要 时 可 关闭 计算 机 系统 及 UPS。 同 时 ,Agent 可 以 由 Monitor 来 设 定 管理 。 

(2) Monitor 是 Winpower 的 用 户 界 面 程序 。 运 行 时 与 Agent 通信 。 通 过 Monitor, 用 
户 可 以 查看 本 地 UPS 实时 状态 信息 、 服 务 器 信息 ,并 且 人 允许 用 户 修改 UPS 的 工作 参数 。 
Monitor 可 以 运行 在 局 域 网 中 的 任意 一 台 计 算 机 或 单独 的 一 台 计算 机 之 上 。 

(3) 任务 栏 图 标 是 Winpower 的 管理 工具 ,运行 时 在 系统 任务 栏 的 状态 区 中 显示 
Winpower 的 图 标 。 当 启动 Winpower 软件 或 计算 机 启动 并 登录 后 ,在 桌面 右 下 角 将 会 自动 
启动 一 个 绿色 电源 图 标 。 

3. 山特 UPS 监控 解决 方案 

(1) Winpower 标准 版 监控 软件 

该 方案 可 以 通过 串口 通信 方式 ,对 近 距 离 单 台 UPS 进行 监控 ,实时 了 解 UPS 的 市 电 、 
负载 .电池 等 状态 信息 。 当 UPS 运行 的 环境 出 现 异常 时 ,通过 系统 广播 ,电子 邮件 、 手 机 短 
信 等 方式 及 时 通知 管理 人 员 。 当 电池 将 耗 尽 时 ,可 以 设置 安全 关闭 计算 机 系统 。 如 图 5-50 
所 示 为 小 型 企业 办 公 室 UPS 监控 应 用 拓扑 图 。 

(2) Winpower 企业 版 集中 监控 解决 方案 

该 方案 可 以 通过 串口 和 网 络 两 种 方式 对 多 台 UPS 进行 集中 监控 ,在 一 个 界面 上 实时 了 
解 各 UPS 的 状况 ,远程 操作 与 维护 UPS。 当 任意 一 个 UPS 的 运行 环境 出 现 异 常 时 ,可 以 通 
过 各 种 方式 第 一 时 间 通 知 到 相关 人 员 。 如 图 5-51 所 示 为 集团 与 分 部 UPS 监控 应 用 拓 
扑 图 。 
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(3) Winpower Plus DB 监控 解决 方案 

该 方案 可 以 对 分 散在 局 域 网 和 广域网 内 多 达 1000 台 UPS 进行 互联 网 监控 ,数据 库 服 
务 器 集中 保存 并 处 理 所 有 数据 信息 ,不 同 的 用 户 可 以 通过 客户 端 软件 和 Web 浏览 器 两 种 方 
式 , 以 不 同 的 权限 进行 访问 管理 。 用 户 不 仅 可 以 实时 了 解 UPS 状况 和 及 时 获得 通知 ,数据 
库 还 随时 查询 和 提供 专业 的 统计 分 析 报表 ,预测 UPS 工作 运行 趋势 ,以 便 事先 采取 相应 措 
施 , 预 防 电源 事故 的 发 生 。 如 图 5-52 所 示 为 商业 银行 UPS 监控 应 用 拓扑 图 。 
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图 5-52 商业 银行 UPS 监控 应 用 拓扑 图 


5.5.2 UPS 管理 


1. 查看 UPS 工作 状态 

若 本 机 有 Agent 正在 运行 , 当 Monitor 激活 后 ,将 直接 打开 “Winpower 管理 器 ”窗口 ， 
显示 本 地 局 域 网 中 的 Agent 及 UPS 的 信息 。 单 击 左 边 树 型 结构 中 的 项 目 , 用 户 将 可 以 得 到 
以 下 信息 : 

。 在 LAN 网络 上 运行 Winpower Agent 的 所 有 计算 机 。 

。 连接 UPS 的 串 行 通信 口 (COM 口 )。 

。 同 Agent 相连 的 UPS 的 型 号 。 

。 用 户 选 择 的 Agent 的 当前 状态 。 

单 击 相应 的 UPS 型 号 , 即 可 显示 如 图 5-53 所 示 的 UPS 状态 窗口 。 窗 口中 显示 了 当前 
UPS 的 输入 与 输出 情况 ,包括 电压 .电流 和 负载 百分比 等 状态 参数 。 


状态 图 中 包括 AC LINE.UPS、BATTERY 、LOAD 和 BYPASS 五 个 部 分 ,以 及 各 部 分 
电源 供给 方向 线 连接 。 


电压 
负载 百分比 


图 5-53 ”UPS 状态 窗口 


2. 事件 响应 设置 

Winpower 可 以 对 UPS 事件 作出 响应 ,对 于 一 些 重大 的 可 能 影响 网 络 正常 运行 的 事 
件 ,不 仅 可 以 记录 至 日 志文 件 ,而 且 还 可 以 通过 邮件 .手机 短信 等 形式 通知 管理 员 。 设 置 事 
件 响 应 方式 的 方法 为 : 以 管理 员 身 份 登录 ,从 主 窗口 的 UPS 菜单 中 选择 “事件 响应 设 定 后 
将 弹出 如 图 5-54 所 示 的 对 话 框 。 在 “事件 列表 ”中 选择 欲 设置 的 事件 ,然后 在 右 侧 选中 相应 
的 响应 方式 复 选 框 即 可 。 
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图 5-54 “事件 响应 设 定 ” 对 话 框 
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3. 设置 关机 参数 

UPS 电池 的 容量 是 有 限 的 ,电池 容量 决定 了 待机 的 时 间 。 因 此 , 当 停电 以 后 应 当 设 置 
合理 的 关机 时 间 ,并 在 UPS 关机 前 向 所 有 用 户 报警 。 关 机 参数 设置 方法 如 下 : 

(1) 在 UPS 菜单 中 选择 “关机 参数 设 定 ” 后 ,弹出 如 图 5-55 所 示 的 “关机 参数 设 定 ” 对 
话 框 。 


5-55 “关机 参数 设 定 " 对 话 框 


(2) 根据 电池 数量 和 使 用 期 限 设置 "电池 备用 时 间 ”, 并 合理 设置 “关闭 系统 所 需 时 间 ”。 
然后 ,在 “关机 报警 参数 ?选项 区 设置 “关机 前 倒数 计时 报警 间隔 时 间 ” 和 ” 排 程 关 机 前 倒数 计 
时 报警 启动 时 间 ”, 分 别 指定 在 关机 前 多 长 时 间 开 始 向 用 户 报警 ,以 及 两 次 告警 之 间 的 时 间 
间隔 。 如 果 需 要 ,还 可 以 选中 "关机 前 执行 档案 复 选 框 ,并 在 下 面 的 文本 框 中 指定 在 关机 前 
执行 的 程序 。 

(3) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 

4. UPS 参数 控制 

由 于 市 电 的 稳定 性 较 差 , 因 此 , 当 采 用 旁 路 供电 时 ,为 了 保证 用 电 设备 的 正常 运行 ,必须 
设置 UPS 输入 、 输 出 参数 。 设 置 的 方法 如 下 : 

(1) 在 UPS 菜单 中 选择 "UPS 控制 参数 "后 ,弹出 如 图 5-56 所 示 的 “UPS 控制 参数 设 
置 ? 对 话 框 。 

(2) 分 别 设置 “输入 频率 范围 "和 “ 旁 路 电压 范围 "的 上 下 限 值 ,并 指定 各 种 状态 下 是 否 
启用 声音 报警 。 

(3) 单 击 “ 确 定 "按钮 ,保存 设置 。 


图 5-56 “UPS 控制 参数 设置 "对话 框 


5. 自动 开关 机 设置 

Winpower 管理 软件 可 以 实现 对 UPS 的 自动 关机 和 开机 管理 ,方法 如 下 : 

(1) 在 UPS 菜单 中 选择 “UPS 开关 机 排 程 ”, 弹 出 如 图 5-57 所 示 的 “UPS 开关 机 管理 ” 
对 话 框 。 

(2) 选择 要 设置 自动 开机 或 关机 的 日 期 ,然后 单 击 * 增 加 UPS 关闭 "按钮 ,在 弹出 的 “ 关 
闭 UPS ?对话 框 中 设置 下 一 次 关闭 或 启动 的 日 期 和 时 间 。 

(3) 单 击 “ 确 定 "按钮 ,保存 设置 。 


UPS 开 关机 管理 


排 吕 波 


图 5-57 “UPS 开 关机 管理 ”对 话 框 
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5.5.3 远程 监控 UPS 的 实现 


远程 监控 UPS 的 方法 如 下 : 
(1) 开启 允许 远程 监控 功能 : 在 有 合法 IP 地 址 的 计算 机 中 启动 Winpower, 在 “远程 监 
控 ” 菜 单 下 单 击 “ 接 受 远程 控制 "选项 ,如 图 5-58 所 示 。 


系统 0 纪录 (0) UPS(U) 工具 (D) [ED SE) Leewee WD) 
[UEJEI EE 话 控 运程 UPSM) 


图 5-58 ”Winpower 管理 器 窗口 


(2) 激活 Monitor: 用 鼠标 右键 单 击 桌面 右 下 角 任 务 栏 中 的 电源 图 标 , 在 弹出 的 快捷 菜 
单 中 选择 Start Monitor。 
(3) 选择 要 监控 的 UPS: 从 “Winpower 管理 器 ”窗口 左 侧 的 树 型 视图 中 选择 UPS, 或 
者 从 “远程 监控 "菜单 下 选择 “监控 远程 UPS" 菜 单项 ,打开 “远程 监控 UPS” 对 话 框 ,在 弹出 
的 对 话 框 中 输入 计算 机 的 *IP 地 址 ”就 可 以 在 Internet 中 找到 UPS, 如 图 5-59 所 示 。 
起 Winpower 首 理 器 -- tj2k =[51xl 


不 统 (WD 纪录 (G) UPFS(U) 工具 (了 远程 监控 0 偏爱 过 项 (E) Lreuge 帮助 (GD) 
较 国 四 本 国生 


图 5-59 被 监控 的 UPS 信息 窗口 


如 果 此 Agent 的 远程 监控 开关 没有 打开 , 则 只 能 监视 而 不 能 控制 。“ 系统 ”菜单 的 “成 
为 系统 管理 员 ” 菜 单 是 灰色 的 。 所 以 不 以 管理 员 身 份 登录 是 不 能 对 UPS 进行 远程 控制 的 。 


5.5.4 通过 网 络 接口 管理 UPS 


如 图 5-60 所 示 , WebPower 卡 是 一 种 基于 TCP/IP、SNMP 协议 ,内 租 Web 服务 器 的 用 
于 远程 UPS 管理 的 智能 监控 产品 。 用 户 可 以 通过 Web 浏览 
器 .SNMP 网 管 软件 或 山特 的 Winpower 集中 监控 软件 来 管 
理 UPS。WebPower 提供 不 同 操作 系统 的 Shutdown 程序 ， 
Shutdown 程序 运行 在 不 同 的 计算 机 上 ,并 且 同 WebPower 进 
行 实时 的 通信 , 当 UPS 出 现 异 常 时 ,Shutdown 程序 可 以 安全 
关闭 计算 机 。 

1. 用 户 界面 

(1) Web 浏览 : 通过 Web 浏览 器 远程 获得 完备 的 UPS ”图 560 WebPower 卡 
管理 信息 。 

(2) UPS 管理 性 能 : Java 监视 通过 Java Applets 所 产生 的 动态 图 标 来 监控 UPS 所 有 
的 状态 值 (如 电压 、 负 载 . 电 池 、 事 件 等 )。 

(3) SNMP 管理 : Webpower 卡 支持 UPS 标准 的 MIB 文档 (RFC1628) 和 企业 自 定义 
的 MIB 文档 ,通过 网 管 软 件 获得 完备 的 UPS 管理 性 能 。 

2. UPS 管理 

(1) 安全 性 管理 : 提供 用 户 名 和 密码 安全 验证 机 制 。 

(2) 配置 管理 工具 : 可 以 设置 Webpower 网 络 参数 .事件 关机 参数 等 。 

(3) 任务 调度 : 定期 UPS 自 测 ,定时 开关 机 ,特别 日 关机 功能 。 

(4) UPS 控制 参数 : 为 直接 操作 控制 UPS 提供 接口 。 

(5) 支持 串口 初始 化 参数 : 支持 通过 串口 设置 Webpower 重要 参数 功能 ,如 超级 用 户 、 
初始 化 口令 SNMP 等 。 

(6) 固件 升级 : 升级 方式 有 Webpower 界面 在 线 升级 、 运 行 固件 升级 程序 、 网 络 升 级 和 
串口 升级 。 

(7) 监控 软件 集中 管理 : 可 以 集中 控制 网 络 中 的 所 有 UPS ,便于 用 户 及 时 发 现 问题 , 方 
便 用 户 管理 。 

3. 诊断 

(1) UPS 定期 自 测 : 通过 周期 性 测试 UPS, 可 以 及 时 发 现 电源 问题 。 

(2) UPS 电池 测试 : 通过 UPS 自 测试 了 解 电池 状况 ,以 便 采取 预防 措施 。 

(3) 数据 记录 : 通过 查看 Webpower 的 历史 记录 数据 ,了 解 UPS 的 工作 状况 ,便于 系统 
管理 员 更 好 地 掌握 Webpower 的 工作 状况 。 

4. 事件 管理 

支持 SNMPTrap, Webpower 支持 多 种 电源 和 环境 事件 实时 警报 ,可 以 通过 SNMP 
Trap 机 制 和 E-mail 第 一 时 间 获 知 发 生 的 事件 。 

5. 关机 /启动 

(1) 关闭 操作 系统 : 通过 Webpower Shutdown 程序 ,可 以 安全 关闭 用 户 系统 。 


击溃 
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(2) 关闭 多 服务 器 : 通过 TCP/IP 网 络 , 可 以 关闭 多 台 服 务 器 (多 达 250 台 ) 。 

(3) 开启 /关闭 UPS: 可 以 直接 关闭 或 开启 连接 设备 的 UPS, 便 于 客户 进行 系统 设备 
维护 。 

(4) 网 络 唤醒 ， 当 关 机 事件 消失 ,UPS 恢复 正常 时 ,可 以 通过 网 络 将 关机 的 计算 机 
开机 。 


5.6 WLAN 管理 


5.6.1 WLAN 概述 


1. WLAN 的 概念 

无 线 局 域 网 (Wireless Local Area Network, WLAN) 是 一 种 无 线 数据 网 络 , 它 是 以 无 线 
方式 构建 的 局 域 网 。 终 端 用 户 无 须 使 用 线 缆 , 只 要 通过 射频 介质 与 无 线 接 人 点 (AP) 建 立 连 
接 即 可 上 网 ,WLAN 给 移动 用 户 带 来 了 极 大 的 便利 。 

2. WLAN 网 络 架 构 

在 WLAN 技术 应 用 中 ,可 以 将 WLAN 网络 架构 分 为 两 种 : * 胖 ”AP 网 络 架构 ,AP 
可 以 自行 控制 接 入 的 无 线 用 户 端 ,并 实施 相应 的 管理 策略 ; @" 瘦 ”AP 网 络 架构 ,由 接 和 人 控 
制 器 (Access Control, AC) 通 过 有 线 网 络 集中 控制 下 联 AP,AP 通过 加 入 AC 创建 的 AP 组 
与 AC 关联 ,无 线 用 户 通过 接 入 AP 实现 与 网 络 通信 ,如 图 5-61 所 示 。 


Internet 


AP Group 1 
图 5-61 “ 瘦 ”AP 网 络 拓扑 示意 图 


3. WLAN 管理 的 应 用 

在 “ 瘦 ”AP 网 络 架 构 中 ,AC 通过 WLAN 管理 对 无 线 网 络 进行 规划 部 署 ,确保 网 络 高 交 
稳定 地 运行 。WLAN 管理 可 以 将 无 线 网 络 划分 成 多 个 WLAN 子 网 ,并 根据 各 子 网 的 服务 
性 质 实施 相应 的 管理 策略 ,无线 用 户 通 过 加 入 不 同 的 WLAN 子 网 可 获得 不 同 的 网 络 服务 。 


5.6.2 配置 WLAN 管理 


用 户 可 以 在 AC 上 创建 多 个 WLAN, 并 进入 指定 WLAN 的 配置 模式 ,根据 实际 网 络 需 
要 配置 该 WLAN 的 相关 功能 属性 。 本 节 以 锐 捷 产 品 的 WLAN 技术 为 例 ,介绍 一 些 常 用 的 
基本 配置 与 管理 命令 。 


1. 创建 WLAN 

在 无 线 网 络 中 ,用 户 可 以 通过 创建 WLAN 将 网 络 划 分 成 多 个 WLAN 子 网 ,并 在 
WLAN 配置 模式 下 配置 WLAN 子 网 的 功能 属性 ,为 无 线 用 户 提供 不 同 的 网 络 服务 。 

在 创建 WLAN 的 同时 必须 关联 一 个 服务 组 织 标识 码 (Service Set Identifier, SSID)， 
SSID 仅 是 一 个 网 络 服务 域 的 名 称 , 一 个 SSID 可 以 对 应 一 个 或 多 个 WLAN。 如 图 5-62 所 
示 , 创 建 的 WLAN 1、WLAN 2、WLAN 3 分 别 对 应 同一 个 SSID 为 “Corporation” 的 网 络 服 
务 域 , 在 这 个 网 络 服 务 域 中 ,User A、User B、User C 分 别 属于 不 同 的 WLAN 子 网 。 


SSID:Corporation 


图 5-62 WLAN 子 网 示意 图 


在 AC 上 创建 WLAN 的 配置 命令 如 表 5-15 所 示 。 
表 5-15 WLAN 的 配置 命令 表 
命 令 作 用 
创建 WLAN 以 及 进入 指定 WLAN 的 配置 模式 。 
wlan-id: 指定 WLAN 的 ID 号 , 取 值 范围 1 一 4 094; 
Ruijie (config) # [no] wlan-config wlan-id profile-string: 该 WLAN 的 描述 符 ,可 省 略 ; 
[profile-string] [ssid-string] ssid-string: SSID 标识 符 ,创建 WLAN 的 同时 ,必须 指定 
该 WLAN 关联 的 SSID; 
使 用 no 选项 可 以 删除 指定 的 WLAN 
Ruijie (config)# show wlan-config summary 查看 AC 上 的 WLAN 配置 列表 


2. 禁止 SSID 广播 

在 WLAN 网 络 中 ,AP 会 定期 广播 SSID 信息 ,向 外 通告 无 线 网 络 的 存在 ,无 线 用 户 通 
过 使 用 无 线 网 卡 搜索 SSID 发 现 网 络 。 为 避免 无 线 网 络 被 非法 用 户 通过 SSID 广播 搜索 到 ， 
并 建立 非法 连接 ,可 以 将 SSID 广播 禁用 ,禁用 SSID 广播 的 配置 命令 如 表 5-16 所 示 。 


表 5-16 禁用 SSID 配置 表 


命 志 作 用 
Ruijie (config) # wlan-config wlan-id 进入 指定 WLAN 
Ruijie (config-wlan) # [no] enable-broad-ssid 默认 情况 下 ,SSID 广播 为 “enable”, 使 用 no 选项 可 以 禁 
止 SSID 广播 
Ruijie (config-wlan) ## show nalrw-config cb 查看 指定 WLAN 的 配置 信息 


wlan-id 
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3. 配置 Tunnel 模式 

在 WLAN 网 络 中 ,AC 通过 无 线 接 入 点 控制 与 供应 协议 (Controlling and Provisioning 
of Wireless Access Point,CAPWAP) 控 制 管理 下 联 的 AP,CAPWAP 为 AC 和 AP 之 间 提 
供 通信 隧道 。AP 可 以 将 收 到 的 无 线 数据 直接 在 本 地 转发 ,或 封装 成 802. 3 帧 格式 转发 给 
AC。 用 户 可 以 在 WLAN 中 配置 Tunnel 模式 来 指定 AP 转发 无 线 数据 的 方式 ,Tunnel 模 
式 的 配置 命令 如 表 5-17 所 示 。 


表 5-17 Tunnel 配置 命令 表 


命令 作 用 
ee lan oane vlan 进入 指定 WLAN 
Ruijie (config-wlan) # tunnel { 8023 | local } ”配置 Tunnel 模式 : 
。 8023: AP 将 收 到 的 无 线 数据 封装 成 802. 3 帧 格式 转 
发 给 AC 。 


。 local: AP 将 收 到 的 无 线 数据 直接 在 本 地 转发 默认 情 
况 下 ,Tunnel 模式 为 local 


Ruijie (config-wlan)# no tunnel 恢复 至 默认 配置 
Ruijie (config-wlan) 井 show nalw-config cb 查看 指定 WLAN 的 配置 信息 
wlan-id 


4. 配置 短 前 导 码 

前 导 码 (Preamble) 是 数据 帧 头 部 的 一 组 Bit 位 ,用 于 同步 发 送 端 与 接收 端的 传输 信和 号。 
前 导 码 分 为 两 种 : 长 前 导 码 (Long Preamble) 和 短 前 导 码 (Short Preamble)。 上 默认 情况 下 ， 
设备 选择 长 前 导 码 传输 数据 。 为 了 提高 网 络 传输 效率 ,用 户 可 以 使 用 短 前 导 码 , 短 前 导 码 配 
置 的 命令 如 表 5-18 所 示 。 


表 5-18 Short Preamble 配置 命令 表 


命令 作 用 
Ruijie Cconfig)#wlanconfig wlanid 进入 指定 WLAN 
Ruijie (config-wlan)#[Lno] short-preamble 使 用 短 前 导 码 。 默 认为 disable, 即使 用 长 前 导 码 ; 使 用 
no 选项 可 以 恢复 默认 配置 
Ruijie (config-wlan) 并 show nalzerconfig cb 查看 指定 WLAN 的 配置 信息 


wlan-id 


5. 配置 RTS Threshold 

为 了 避免 信道 冲突 而 导致 数据 传输 失败 ,IEEE 802. 11 MAC 协议 提供 了 一 个 RTS/ 
CTS(Request To Send/Clear To Send) 握 手 协议 . 即 请求 发 送 / 人 允许 发 送 协议 。 如 果 每 个 工 
作 站 每 次 发 送 数据 前 都 要 执行 RTS/CTS 握手 ,将 导致 过 多 的 RTS 帧 占用 信道 带宽 ,可 以 
设置 RTS Threshold 来 指定 发 送 数据 的 帧 长 度 , 如 果 帧 长 度 小 于 RTS Threshold 设置 的 门 
限 , 将 不 执行 RST/CTS 握手 ,RTS Threshold 配置 的 命令 如 表 5-19 所 示 。 


表 5-19 RTS Threshold 配置 命令 表 
命 令 作 用 
Ruijie (config)# wlan-config wlan-id 进入 指定 WLAN 
Ruijie (config-wlan) 井 rts-threshold threshold ”配置 RTS Threshold。 其 中 ,threshold 指定 数据 的 帧 长 
度 , 取 值 范 围 为 257 一 2 347, 默 认 值 为 2 347 


Ruijie (config-wlan)# no rts-threshold 恢复 至 默认 配置 
Ruijie (config-wlan) # show nalw-config cb ”查看 指定 WLAN 的 配置 信息 


wlan-id 


6. 配置 短 时 际 
在 WLAN 网 络 中 ,为 避免 多 个 工作 站 发 送 数 据 引 起 信道 竞争 ,工作 站 在 发 送 数 据 之 前 
需要 检测 信道 是 否 空 亲 。 如 果 检 测 到 信道 处 于 空闲 状态 ,工作 站 并 不 立即 发 送 数据 ,而 是 等 
待 一 个 退 避 时 间 (Backoff Time)。 退 避 时 间 是 时 除 时 间 (Slot Time, MAC 协议 中 的 一 个 操 
作 时 间 单 元 ) 的 随机 整数 倍 , 假 设 随 机 值 为 3, 则 每 经 过 一 个 时 隙 时 间 , 系 统 自动 将 数值 减 1， 
待 数值 减 为 零 时 ,工作 站 开始 发 送 数据 。 因 此 ,降低 时 隙 时 间 可 以 减少 总 体 退 避 时 间 , 从 而 
增加 网 络 的 吞吐 量 。 
用 户 可 以 指定 WLAN 使 用 短 时 隙 ,即将 时 隙 时 间 从 标准 的 20ps 降低 至 9ps, 配 置 短 时 
隙 的 命令 如 表 5-20 所 示 。 
表 5-20 ”Short Slot Time 配置 命令 表 
命令 作 用 
Ruijie (config) # wlan-config wlan-id 进入 指定 WLAN 
Ruijie (config-wlan) # [no] short-slot-time 使 用 短 时 隙 ,默认 情况 下 , 短 时 隙 为 “disable"。 使 用 no 
选项 可 以 禁用 短 时 隙 
Ruijie (config-wlan) 井 show malrurconfig cb ”查看 指定 WLAN 的 配置 信息 


wlan-id 


7. 配置 数据 帧 重 传 次 数 
在 WLAN 网 络 中 ,如 果 发 送 方 传输 数据 失败 ,可 以 尝试 重新 传输 。 基 于 RTS 
Threshold 门限 值 可 以 将 数据 帧 分 为 长 数据 帧 和 短 数据 帧 ,并 根据 数据 帧 长 短 设置 对 应 的 
重 传 次 数 。 
(1) 配置 长 数据 帧 重 传 次 数 
配置 长 数据 帧 重 传 次 数 的 命令 如 表 5-21 所 示 。 
表 5-21 配置 长 数据 帧 重 传 次 数 命令 表 


命 村 作 用 
Ruijie (config) # wlan-config wlan-id 进入 指定 WLAN 


Ruijie (config-wlan)# long-retries count 配置 长 数据 帧 重 传 次 数 。 其 中 ,count 指 重 传 次 数 , 取 值 
范围 为 1 一 4, 默 认 值 为 4 


Ruijie (config-wlan)# no long-retries 恢复 默认 配置 
Ruijie (config-wlan) ## show nalw-config cb ”查看 指定 WLAN 的 配置 信息 


wlan-id 
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(2) 配置 短 数 据 帧 重 传 次 数 
配置 短 数 据 帧 重 传 次 数 的 命令 如 表 5-22 所 示 。 
表 5-22 配置 短 数 据 帧 重 传 次 数 命令 表 
命 过 作 用 
Ruijie (config)# wlan-config wlan-id 进入 指定 WLAN 
Ruijie (config-wlan) # short-retries count ”配置 短 数据 帧 重 传 次 数 。 其 中 ,count 指 重 传 次 数 , 取 值 
范围 为 1 一 7, 默 认 值 为 7 


Ruijie (config-wlan)# no short-retries 恢复 默认 配置 
Ruijie (config-wlan) 并 show malzurconfig cb ”查看 指定 WLAN 的 配置 信息 
wlan-id 


5.6.3 AP 管理 配置 


1. AP 管理 概述 

早期 的 WLAN 网 络 是 采用 有 线 交换 机 十 胖 AP 的 组 网 方式 。 因 此 ,在 WLAN 网 络 部 
署 中 需要 对 胖 AP 进行 逐一 配置 。 随 着 网 络 规模 的 不 断 扩大 , 原 有 的 胖 AP 无 线 技术 已 无 
法 适应 现 有 的 网 络 发 展 需要 。 

(1) 瘦 AP 技术 

瘦 AP 无 线 技术 是 采用 有 线 交 换 机 十 无 线 控制 器 十 瘦 AP 的 组 网 方式 , 即 AP 作为 简单 
的 无 线 接 入 点 ,不 具备 管理 控制 功能 ,而 通过 无 线 控制 器 统一 管理 所 有 AP, 向 指定 AP 下 发 
控制 策略 ,无 须 在 各 AP 上 单独 配置 ,如 图 5-63 所 示 。AC 通过 有 线 网 络 与 多 个 AP 相连 ， 
用 户 只 需 在 AC 上 对 所 关联 的 AP 进行 配置 管理 。 


一 
Switch <> 
“© 


Internet 


图 5-63 简单 瘦 AP 组 网 拓扑 


(2) AP 管理 的 工作 原理 

AP 管理 是 通过 在 AC 和 AP 之 间 运 行 CAPWAP 协议 实现 的 ,CAPWAP 在 AC 和 AP 
之 间 提 供 通信 隧道 ,负责 封装 AC 发 往 AP 的 控制 报 文 ,以 及 AP 发 往 AC 的 数据 报 文 。 

AP 管理 是 指 用 户 在 AC 上 进行 相应 的 配置 ,并 封装 成 相应 的 CAPWAP 控制 报 文 , 通 
过 CAPWAP 控制 通道 传输 至 AP 进行 解析 并 执行 的 过 程 。 

2. AP 管理 的 配置 模式 

在 WLAN 网 络 中 ,对 瘦 AP 的 控制 管理 统一 集中 在 AC 上 配置 ,用 户 可 以 通过 AC 的 
控制 台 进 入 多 个 配置 模式 来 配置 管理 AC 和 AP。AP 管理 具有 以 下 3 种 模式 : 


(1) AC 配置 模式 : 在 该 模式 下 可 以 对 AC 自身 的 功能 属性 以 及 指定 AP 的 部 分 功能 属 
性 进行 配置 。 

(2) AP 组 配置 模式 : 在 该 模式 下 可 以 对 指定 AP 组 的 功能 属性 进行 配置 。 在 该 配置 
模式 下 的 配置 会 对 该 AP 组 内 的 所 有 AP 生效 。 

(3) AP 配置 模式 : 在 该 模式 下 可 以 对 指定 AP 的 功能 属性 进行 配置 。 在 该 配置 模式 
下 的 配置 不 会 影响 其 他 AP。 

3. 配置 AP 管理 

1) AC 配置 模式 的 管理 命令 

(1) 进入 AC 配置 模式 

进入 AC 配置 模式 的 命令 如 表 5-23 所 示 。 

表 5-23 进入 AC 配置 模式 命令 表 
命令 作 用 

Ruijie (config)# ac-controller Re 

Ruijie (config-ac) # 的 

(2) 配置 AC 的 名 称 

为 方便 用 户 在 WLAN 网 络 中 识别 管理 AC, 可 以 为 不 同 的 AC 配置 不 同 的 名 称 。 在 
AC 配置 模式 下 ,配置 AC 的 名 称 的 命令 如 表 5-24 所 示 。 

表 5-24 配置 AC 名 称 命令 表 


命 ” 令 作 用 
Ruijie (config-ac) # ac-name ac-name 配置 AC 的 名 称 。 其 中 ,ac-name: 配置 该 AC 的 名 称 描 
述 符 , 最 多 可 配置 64 个 字符 ,不 能 包含 空格 
Ruijie (config-ac) # no ac-name 恢复 至 默认 配置 
Ruijie (config-ac) # exit 如 果 需 要 查看 配置 结果 , 则 执行 此 命令 退出 AC 配置 模式 
Re 查看 配置 的 AC 名 称 


(3) 配置 AC 可 以 连接 的 最 大 AP 数 
在 WLAN 网 络 中 ,一 台 AC 可 以 连接 多 台 AP。 用 户 可 以 配置 指定 AC 可 连接 的 最 大 
AP 数 。 在 AC 配置 模式 下 ,配置 AC 可 以 连接 的 最 大 AP 数 的 命令 如 表 5-25 所 示 。 
表 5-25 配置 最 大 AP 数 命令 表 
命令 作 用 
Ruijie (config-ac) # wtp-limit max-num 配置 该 AC 可 以 连接 的 最 大 AP 数 。 其 中 ,max-num 指 
可 连接 的 最 大 AP 数 ,WS5302 的 取 值 范围 为 1 一 64, 默 
认 值 为 8; WS5708 的 取 值 范围 为 1 一 768, 默 认 值 为 128 


Ruijie (config-ac) # no wtp-limit 恢复 至 默认 配置 
Ruijie (config-ac) # exit 如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AC 配置 模式 
Ruijie(config-ac) # show ac-config 查看 配置 信息 


(4) 配置 AC 可 以 连接 的 最 大 无 线 用 户 数 
在 WLAN 网 络 中 ,一 台 AC 可 以 连接 多 台 AP, 一 台 AP 又 可 以 连接 多 个 无 线 用 户 。 用 
户 可 以 配置 指定 AC 服务 范围 内 最 多 可 连接 的 无 线 用 户 数 。 在 AC 配置 模式 下 ,配置 AC 
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可 以 连接 的 最 大 无 线 用 户 数 的 命令 如 表 5-26 所 示 。 
表 5-26 配置 AC 可 连接 的 最 大 用 户 数 命令 表 


命 令 作 用 
Ruijie (config-ac) # sta-limit max-num 配置 AC 可 以 连接 的 最 大 无 线 用 户 数 。 其 中 , max-num 
指 可 连接 的 最 大 无 线 用 户 数 ,WS5302 的 取 值 范围 为 1 一 
24 000, 默 认 值 为 2 010; WS5708 的 取 值 范围 为 1 一 
196 608 ,默认 值 为 32 768 


Ruijie (config-ac) # no sta-limit 恢复 至 默认 配置 
Ruijie (config-ac) # exit 如 果 需 要 查看 配置 结果 , 则 执行 此 命令 退出 AC 配置 模式 
Ruijie (config-ac) # show ac-config 查看 配置 信息 


2) AP 组 配置 模式 的 管理 命令 

AP 在 WLAN 网 络 中 要 能 为 无 线 用 户 提 供 服 务 , 必 须 与 某 个 AC 建立 连接 ,并 且 需 要 
加 入 一 个 AP 组 。 所 有 新 加 入 的 AP 都 属于 默认 AP 组 default。 默 认 AP 组 不 可 创建 ,不 可 
删除 。 用 户 可 以 创建 自 定义 的 AP 组 ,并 在 该 AP 组 配置 模式 下 设置 相关 功能 属性 。 

(1) 创建 AP 组 

在 配置 模式 下 创建 AP 组 的 命令 如 表 5-27 所 示 。 

表 5-27 创建 AP 组 命令 表 
命令 作 用 
创建 AP 组 。 其 中 ,test-group 指 AP 组 名 。 使 用 no 选项 


Ruijie (config) 0 ] ap-group test-gro' 
uijie (config)# [no] ap-group test-group 可 以 删除 该 AP 组 


(2) 配置 指定 AP 组 的 WLAN-CVI 映射 
在 WLAN 网 络 中 ,AP 为 无 线 用 户 提供 射频 服务 需要 先 加 入 一 个 特定 的 WLAN。 可 
以 在 AC 上 创建 多 个 WLAN, 将 各 AP 组 划分 到 对 应 的 WLAN ,AP 通过 加 入 指定 的 AP 组 
与 对 应 的 WLAN 建立 关联 ,并 基于 该 WLAN 为 无 线 用 户 提供 服务 。 
为 实现 无 线 网 络 与 有 线 网 络 之 间 通 信 ,用户 需要 配置 指定 WLAN 与 VLAN 的 三 层 虚 
拟 接口 (CVI) 绑 定 。 配 置 指定 AP 组 的 WLAN-CVI 映射 的 命令 如 表 5-28 所 示 。 
表 5-28 配置 WLAN-CVI 映射 命令 表 


命 村 作 用 
Ruijie (config) # ap-group test-group 进入 指定 的 AP 组 
Ruijie (config-ap-group) # [no] interface- 配置 指定 的 AP 组 的 WLAN-VLAN 映射 。 其 中 ,wlan-id 
mapping wlan-id vlan-id [radio radio-id] 指 指定 的 WLAN, 该 WLAN 必须 已 经 创建 , 取 值 范围 为 
1~2 010; 
vlan-id: 指定 的 VLAN, 该 VLAN 的 CVI 已 创建 , 取 值 
范围 为 1~4 094; 


radio-id: 指定 AP 的 Radio, 若 不 指定 radio-id 参数 ,会 应 
用 到 AP 组 内 的 所 有 AP 的 所 有 radio 上 
Ruijie (config-ap-group) # exit 如 果 需 要 查看 配置 结果 , 则 执行 此 命令 退出 AP 组 配置 模式 
Ruijie (config) # show ap-group intf-wlan- 查看 指定 AP 组 的 wlan-vlan 映射 表 


map test-group 


(3) 配置 指定 AP 组 内 的 AP 可 连接 的 最 大 无 线 用 户 数 
在 WLAN 网 络 中 ,可 以 指定 AP 组 内 的 所 有 AP 可 连接 的 最 大 无 线 用 户 数 ,配置 指定 
AP 组 内 的 AP 可 连接 的 最 大 无 线 用 户 数 的 命令 如 表 5-29 所 示 。 
表 5-29 指定 AP 组 内 可 连接 的 最 大 用 户 数 命令 表 


命令 作 用 
Ruijie (config)# ap-group test-group 进入 指定 的 AP 组 
Ruijie (config-ap-group) # stalimit max-num ”配置 指定 AP 组 内 的 所 有 AP 可 连接 的 最 大 无 线 用户 数 。 
其 中 , max-num 指 可 支持 的 最 大 用 户 数 , 取 值 范围 为 
1 一 256 
Ruijie (config-ap-group) # no sta-limit 使 用 no 选项 可 恢复 至 默认 值 


(4) 配置 指定 AP 组 内 所 有 AP 的 用 户 名 和 密码 
为 避免 非法 用 户 通 过 Telnet 直接 登录 到 AP 上 对 其 实施 配置 控制 ,影响 正常 WLAN 
网 络 运行 ,用 户 可 以 配置 指定 AP 组 的 用 户 名 和 密码 ,该 AP 组 内 的 所 有 AP 统一 使 用 该 用 
户 名 和 密码 ,配置 命令 如 表 5-30 所 示 。 
表 5-30 为 AP 组 指定 用 户 名 和 密码 命令 表 


命 令 作 用 
Ruijie (config)#ap-group test-group 进入 指定 的 AP 组 。 其 中 ,testrgroup 为 指定 的 AP 组 名 称 
Ruijie (config-ap-group) # [no] credentialuser ”配置 指定 AP 组 的 用 户 名 和 密码 。 其 中 ,username 指 用 
name password 户 名 ; password 指 密码 ; 使 用 no 选项 ,取消 该 配置 


(5) 配置 指定 AP 组 同步 AC 的 时 间 
用 户 可 以 指定 AP 组 内 的 所 有 AP 同步 AC 的 时 间 ,配置 命令 如 表 5-31 所 示 。 
表 5-31 配置 同步 AC 时 间 命 令 表 


命 四 作 用 
Ruijie (config) 井 ap-group test-group 进入 指定 的 AP 组 。testgroup 为 指定 的 AP 组 名 称 
Ruijie (config-ap-group) # timestamp 配置 指定 AP 组 同步 本 AC 的 时 间 


(6) 配置 检测 指定 AP 组 内 AP 与 AC 之 间 的 链 路 状态 
在 WLAN 网 络 中 ,AP 可 以 定期 发 送 报 文 给 AC,AC 通过 接收 AP 发 送 的 报 文 , 统 计 该 
报 文 的 传输 延迟 ,管理 员 通 过 查看 相应 的 延迟 时 间 ,定位 AC 与 AP 之 间 的 链 路 状态 。 可 以 
在 指定 AP 组 的 配置 模式 下 ,开启 检测 AC 与 指定 AP 组 内 所 有 AP 之 间 的 链 路 状态 的 功 
能 。 配 置 命令 如 表 5-32 所 示 。 
表 5-32 配置 链 路 状态 命令 表 
命 过 作 用 
Ruijie (config)#ap-group test-group 进入 指定 的 AP 组 。test-group 为 指定 的 AP 组 名 称 
Ruijie (config-ap-group) # [no] link-latency ”配置 检测 AC 与 指定 AP 组 内 AP 之 间 的 链 路 状态 。 默 
认 情 况 下 ,未 开启 检测 链 路 状态 。 使 用 no 选项 可 恢复 至 
默认 配置 
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续 表 
命令 作 用 
Ruijie (config-ap-group) # exit 如 果 需 要 查看 AC 与 AP 之 间 的 链 路 状态 信息 ,请 执行 此 
命令 退出 AP 组 配置 模式 
Ruijie (config) # show ap-config link- 查看 AC 与 AP 之 间 的 链 路 状态 信息 。 其 中 ,all 指 查 看 


latency {all | single ap-name} 与 AC 关联 的 所 有 AP 的 链 路 状态 信 
指 查看 单个 AP 的 链 路 状态 信息 


息 ; single ap-name 


3) AP 配置 模式 的 管理 命令 
如 果 用 户 需要 对 特定 的 AP 实施 管理 配置 ,可 以 在 AC 上 配置 进入 指定 AP 的 配置 模 
式 ,并 在 该 配置 模式 下 执行 如 下 配置 。 
(1) 配置 AP 所 属 的 AP 组 
所 有 新 加 入 的 AP 都 属于 默认 AP 组 default。 用 户 可 以 将 指定 AP 加 入 自行 创建 的 
AP 组 ,配置 命令 如 表 5-33 所 示 。 
表 5-33 配置 AP 组 命令 表 
命 人 作 用 
Ruijie (config)# ap-config ap-name 进入 指定 AP 的 配置 模式 
Ruijie (config-ap) #[no] ap-group test-group ”配置 AP 所 属 的 AP 组 。 其 中 ,test-group 为 指定 的 AP 
组 名 。 使 用 no 选项 ,取消 AP 所 属 组 ,恢复 至 默认 AP 组 
Ruijie (config-ap) # exit 如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AP 配置 
模式 
Ruijie (config-)# show ap-config cb ap-name 查看 指定 AP 的 状态 信息 


(2) 配置 AP 的 名 称 
一 旦 AP 与 AC 关联 ,AC 自动 为 AP 按 数字 排序 方式 命名 (例如 AP-0001)。 为 方便 用 
户 识别 管理 ,可 以 自行 为 AP 重新 命名 ,配置 AP 名 称 的 命令 如 表 5-34 所 示 。 
表 5-34 配置 AP 名 称 命令 表 


命 党 作 用 
Ruijie (config)# ap-config ap-name 进入 指定 AP 的 配置 模式 
Ruijie (config-ap)# ap-name name 配置 AP 的 名 称 。 其 中 ,name 为 配置 AP 的 名 称 描述 符 ， 
不 能 带 空 格 
Ruijie (config-ap)# exit 如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AP 配置 
模式 
Ruijie (config) 井 show ap-config inventory 查看 指定 AP 的 名 称 


ap-name 


(3) 配置 指定 AP 的 频段 
目前 AP 可 支持 2.4GHz 和 5GHz 两 个 频段 的 射频 传输 ,用 户 可 以 指定 AP 的 射频 支 
持 的 频段 ,配置 命令 如 表 5-35 所 示 。 


表 5-35 
命 令 


配置 AP 频段 命令 表 
作 用 


Ruijie (config)# ap-config ap-name 
Ruijie (config-ap) # radio-type radio-id 
{802. 11a | 802. 11b} 


Ruijie (config-ap)# exit 


Ruijie (config)# show ap-config radio radio- 


id status ap-name 


(4) 配置 AP 的 无 线 信道 


无 线 信道 (Channel) 是 AP 与 无 线 用 户 之 间 传 输 射 频 介质 的 通道 。 不 同 的 国家 以 及 不 
同 的 频段 支持 的 信道 也 不 同 。 在 中 国 ,2. 4G Hz 的 频段 可 以 配置 的 信道 有 13 个 (channel 1、 
2、3、…、13),5GHz 的 频段 可 以 配置 的 信道 有 5 个 (channel 149、153、157、161、165)。 在 
2. 4GHz 的 频段 中 ,互相 重 全 的 信道 会 产生 干扰 ,为 避免 无 线 信 号 冲突 ,建议 将 其 配置 为 不 
重生 的 信道 (例如 channel 1、6、11); 而 5GHz 的 频段 ,这 5 个 信道 不 会 互相 重 伙 ,也 不 会 产 


生 干 扰 。 


进入 指定 AP 的 配置 模式 

配置 指定 AP 的 Radio 频段 。 其 中 ,radio-id 为 指定 射频 
号 。802. 11a 支持 5GHz 的 频段 ; 802. 11b 支持 2. 4GHz 
的 频段 。 默 认 情 况 下 , 单 频 AP( 即 Radio 1) 支 持 2. 4GHz 
频段 , 双 频 AP 的 Radio 1 支持 2. 4GHz, Radio 2 支 
持 5GHz 

如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AP 配置 
模式 

查看 指定 AP 指定 radio 的 配置 信息 


用 户 可 以 配置 指定 AP 的 信道 ,配置 命令 如 表 5-36 所 示 。 


表 5-36 


命令 


配置 AP 信道 命令 表 
作 用 


Ruijie (config)# ap-config ap-name 
Ruijie (config-ap) # channel channel-id radio 


radio-id 


Ruijie (config-ap)# exit 


Ruijie (config)# show ap-config radio radio- 


id config ap-name 


进入 指定 AP 的 配置 模式 

配置 指定 AP 的 信道 。 其 中 ,channel-id 为 指定 AP 使 用 
的 信道 ,不 同 的 频段 ,信道 取 值 范围 不 同 。 如 果 国家 码 为 
“CN"”,2.4GHz 的 频段 下 可 配置 的 channel 为 1 一 13 个 ; 
5GHz 的 频段 下 可 配置 的 channel 为 149、153、157、161、 
165。radio-id 为 指定 射频 号 

如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AP 配置 
模式 

查看 指定 AP 指定 radio 的 信道 配置 信息 


(5) 配置 指定 AP 可 连接 的 最 大 无 线 用户 数 


在 WLAN 网 络 中 ,一 台 AP 可 连接 多 个 无 线 用 户 数 , 管 理 员 可 以 配置 指定 AP 可 连接 
的 最 大 用 户 数 ,配置 命令 如 表 5-37 所 示 。 
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表 5-37 配置 AP 可 连接 的 最 大 用 户 数 命令 表 


命 令 作 用 
Ruijie (config) # ap-config ap-name 进入 指定 AP 的 配置 模式 
Ruijie (config-ap) # sta-limit max-num 配置 指定 AP 可 连接 的 最 大 用 户 数 。 其 中 ,max-num 为 
可 支持 的 最 大 用 户 数 , 取 值 范围 为 1 一 32, 默 认 值 为 32 
Ruijie (config-ap)# no sta-limit 使 用 no 选项 恢复 至 默认 值 
Ruijie (config-ap)# exit 如 果 需 要 查看 配置 结果 ,请 执行 此 命令 退出 AP 配置 
模式 


Ruijie (config) # show ap-config cb ap-name 查看 指定 AP 的 状态 信息 


(6) 配置 指定 AP 的 用 户 名 和 密码 
为 避免 非法 用 户 通过 Telnet 直接 登录 到 AP 上 对 其 实施 配置 控制 ,影响 正常 WLAN 
网 络 运行 ,用 户 可 以 配置 指定 AP 的 用 户 名 和 密码 ,配置 命令 如 表 5-38 所 示 。 


表 5-38 配置 AP 用 户 名 和 密码 命令 表 


命 令 作 用 
Ruijie (config)# ap-config ap-name 进入 指定 AP 的 配置 模式 
Ruijie (config-ap) 井 [no] credential user 配置 指定 AP 的 用 户 名 和 密码 。 其 中 ,user-name 为 用 户 


name password 名 ; password 为 密码 。 使 用 no 选项 ,取消 该 配置 


(7) 配置 为 指定 AP 升级 版 本 
用 户 可 以 单独 为 指定 的 AP 进行 版 本 升级 ,配置 命令 如 表 5-39 所 示 。 
表 5-39 配置 AP 升级 命令 表 


命 夺 作 用 
Ruijie(Cconfig) # ap-config ap-name 进入 指定 AP 的 配置 模式 
Ruijie(config-ap) # ap-image-id ap. bin 配置 为 指定 AP 升级 版 本 。 其 中 ,ap. bin 为 软件 版 本 
文件 


RuijieCconfig-ap) ## show ap-config cb ap-name 查看 指定 AP 的 状态 


5.6.4 WLAN 配置 案例 


1. 组 网 拓扑 

如 图 5-64 所 示 ,一 台 AC 直 连 四 台 AP: AP0001、AP0002、AP0003、AP0004 ,产品 型 号 
为 AP220-E 或 AP220-SE。 

2. 应 用 需求 

(1) 建立 基本 的 AP 管理: 将 AP 加 入 AC, 由 AC 为 接 和 人 AP 同步 升级 版 本 ,无 线 用 户 
通过 接 和 人 AP 实现 与 有 线 网 络 通信 。 

(2) 建立 安全 的 AP 管理 : 过 滤 非 法 无 线 用 户 ; 防止 非法 用 户 对 AP 自行 配置 。 

3. 配置 要 点 

根据 以 上 需求 配置 如 下 : 


~ E> 
Groupl 


WLAN 100 AP0002 
VLAN 10 


AP0004 


Group2 


AP0003 WLAN 200 
VLAN 20 


5-64 AP 直 连 AcC 的 拓扑 示意 图 


(1) 配置 指定 AP 组 的 WLAN-CVI 映 射 ,配置 AP 所 属 的 AP 组 ,并 配置 AC 为 指定 的 
AP 系列 升级 版 本 。 

(2) 配置 AC 网 络 中 的 无 线 用 户 黑 名 单 ,配置 指定 AP 的 用 户 名 和 密码 。 

4. 配置 步骤 

(1) 配置 指定 AP 组 的 WLAN-CVI 映射 。 


! 创 建 VLAN 10、VLAN20, 并 配置 对 应 的 CVI。 
Ruijie (config)# vlan 10 

Ruijie (config-vlan) # int vlan 10 

Ruijie (config-if-VLAN 10)# exit 

Ruijie (config)# vlan 20 

Ruijie (config-vlan) # int vlan 20 

Ruijie (config-if-VLAN 10)# exit 

! 创 建 WLAN 100、WLAN200. 

Ruijie (config) # wlan-config 100 pro-100 ssid-100 
Ruijie (config-wlan) # exit 

Ruijie (config) # wlan-config 200 pro-200 ssid-100 
Ruijie (config-wlan) # exit 

! 创 建 AP 组 Group 1、Group 2, 在 对 应 的 AP 组 内 配置 指定 WLAN 和 CVI 的 映射 。 
Ruijie (config) # ap-group groupl 


Ruijie (config-ap-group)# interface-mapping 100 10 
Ruijie (config-ap-group) # exit 

Ruijie (config) # ap-group group2 

Ruijie (config-ap-group)# interface-mapping 200 20 
Ruijie (config-ap-group ) # exit 


(2) 配置 AP 所 属 的 AP 组 


! 指 定 AP0001、AP0002 加 入 group1, AP0003、AP0004 加 入 group2。 

Ruijie (config)# ap-config AP0001 

Ruijie (config-ap) # ap-group groupl 

Ruijie (config-ap) # exit 

Ruijie (config) # ap-config AP0002 

Ruijie (config-ap)# ap-group groupl 

Ruijie (config-ap)# exit 第 
Ruijie (config) # ap-config AP0003 5 
Ruijie (config-ap)# ap-group group2 章 
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Ruijie (config-ap) # exit 

Ruijie (config)# ap-config AP0004 
Ruijie (config-ap) 井 ap-group group2 
Ruijie (config-ap)# exit 


(3) 配置 AC 为 指定 的 AP 升级 版 本 


! 进 入 AC 配置 模式 ,配置 AP 产品 型 号 AP220-SE、AP220-E 的 系列 名 称 为 “RG-AP220”。 
Ruijie (config)# ac-controller 

Ruijie (config-ac)# ap-serial RG-AP220 AP220-SE AP220-E 

! 配 置 RG-AP220 系列 使 用 ap. bin 文件 升级 。 

Ruijie (config-ac)# ap-iamge RG-AP220 ap. bin 

! 激 活 ap. bin 文件 . 


Ruijie (config-ac)# active-bin-file ap. bin 
(4) 配置 AC 网 络 中 的 无 线 用 户 黑 名 单 。 
! 在 AC 配置 模式 下 ,配置 禁止 MAC 地 址 为 aaaa. bbbb. ccec 的 无 线 用 户 上 网 。 


Ruijie (config)# ac-controller 
Ruijie (config-ac)# mac-acl aaaa. bbbb. ccce 


(5) 配置 指定 AP 的 用 户 名 和 密码 。 


! 配 置 AP0001 的 用 户 名 为 Switch, 密码 为 123。 
Ruijie (config) # ap-config AP0001 
Ruijie (config-ap) # credential Switch 123 


5.7 本 章 小 结 


本 童 介绍 了 常用 网 络 设备 的 管理 技术 和 方法 。 首 先 介绍 了 Web、FTP、E-mail 等 常用 
服务 器 的 配置 技术 和 管理 方法 ; 然后 介绍 了 交换 机 、 路 由 器 等 设备 的 管理 ; 最 后 对 网 络 隔 
离 设备 ,电源 `WLAN 等 管理 进行 了 简单 介绍 。 

本 章 重 点 是 理解 常用 网 络 设备 的 作用 和 功能 ,掌握 常用 网 络 设备 的 配置 技术 和 管理 
方法 。 


习 题 5 


一 、 选 择 题 

1. 下 列 命令 在 连接 到 外 部 网 络 的 接口 上 启用 NAT 的 是 ( )e 
A. ip nat inside B. ip nat outside source 
C. ip nat outside D. set ip nat outside 


2. 下 列 选项 中 是 标准 的 IP 访问 列表 的 是 ( )。 

A. access-list 110 permit host 1.1.1.1 

B. access-list 1 deny 192. 168. 215. 48 0. 0. 0. 0 

C. access-list 1 permit 192. 168. 215. 48 255. 255. 255. 0 
D. access-list standard 1.1.1.1 


3. 交换 机 如 何 知道 将 帧 转发 到 哪个 端口 ?( 

B. 用 ARP 地 址 表 

D. 用 MAC 地 址 表 

4. IEEE 制定 了 什么 标准 ,规范 了 跨 交换 机 实现 VLAN 的 方法 ( 
A. 802.1q B. ISL 人 VTP 


A. 读 取 ARP 地 址 
C. 读 取 源 MAC 地 址 


二 、 简 答题 


1 
2 
3 
4 
5 
6 


. 什么 是 虚拟 主机 ? 什么 是 虚拟 目录 ? 
. 什么 是 物理 隔离 和 人 逻辑 隔离 ? 

. 简 述 跨 交 换 机 划分 VLAN 的 方法 。 

. 简 述 基于 山特 技术 的 UPS 管理 方案 。 
. 接 人 服务 器 的 功能 是 什么 ? 

. ACL 和 NAT 的 作用 是 什么 ? 
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6.1 网 站 设计 与 管理 


6.1.1 企业 网 站 概述 


1. 企业 网 站 及 其 特征 

网 站 的 种 类 很 多 ,如 政府 网 站 ,教学 网 站 ,新闻 媒体 网 站 、 供 求 信 息 发 布 网 站 .个 人 网 站 
等 。 从 网 络 技术 的 基本 原理 来 看 ,各 种 网 站 并 没有 本 质 上 的 差别 ,不 同 之 处 主要 在 于 网 站 的 
目的 .内 容 、 功 能 、 规 模 、 表 现形 式 、 经 营 方式 等 。 

由 于 企业 网 站 具有 自主 性 和 灵活 性 的 特点 ,所 以 不 同 的 企业 网 站 之 间 不 仅 表现 形式 各 
有 特色 ,功能 和 内 容 也 千差万别 。 可 以 按照 行业 ,企业 规模 、 网 站 所 采用 的 技术 、 网 站 主机 类 
型 等 对 其 进行 分 类 ,如 果 从 功能 上 考虑 ,可 以 将 企业 网 站 分 为 信息 发 布 型 和 网 上 销售 型 两 
类 。 无 论 是 哪 种 形式 ,通常 企业 网 站 一 般 具 有 如 下 一 个 或 多 个 特征 : 

。 通过 网 站 的 形式 向 公众 传递 企业 品牌 形象 .企业 文化 等 基本 信息 。 

。 发 布 企业 新 闻 、 供 求 信息 人才 招聘 信息 。 

。 向 供应 商 、 分 销 商 、 合 作 伙伴 直接 用 户 等 提供 某 种 信息 和 服务 。 

。 网 上 展示 、 推 广 .销售 商品 。 

。 收集 市 场 信息 .注册 用 户 信息 。 

。 其 他 具有 营销 目的 或 营销 效果 的 内 容 和 形式 。 
因此 ,从 营销 的 策略 来 看 ,企业 网 站 是 一 个 开展 网 络 营销 的 综合 性 工具 。 

2. 企业 网 站 的 功能 

(1) 品牌 形象 : 网 站 的 形象 代表 着 企业 的 网 上 品牌 形象 ,人 们 在 网 上 了 解 一 个 企业 的 
主要 方式 就 是 访问 该 企业 的 网 站 ,网 站 建设 的 专业 化 与 否 直接 影响 企业 的 网 络 品牌 形象 , 同 
时 也 对 网 站 的 其 他 功能 产生 直接 影响 。 

(2) 产品 /服务 展示 : 顾客 访问 网 站 的 主要 目的 是 为 了 对 企业 的 产品 和 服务 进行 深入 
的 了 解 ,企业 网 站 的 主要 价值 也 就 在 于 灵活 地 向 用 户 展示 产品 说 明 及 图 片 ,甚至 多 媒体 信 
息 。 即 使 一 个 功能 简单 的 网 站 ,至 少 也 相当 于 一 本 可 以 随时 更 新 的 产品 宣传 资料 。 

(3) 信息 发 布 : 网 站 是 一 个 信息 载体 ,在 法 律 许可 的 范围 内 ,可 以 发 布 一 切 有 利于 企业 
形象 .顾客 服务 以 及 促进 销售 的 企业 新 闻 .产品 信息 、 各 种 促销 信息 ,招标 信息 ,合作 信息 、 人 
员 招聘 信息 等 。 因 此 ,拥有 一 个 网 站 就 相当 于 拥有 一 个 强 有 力 的 宣传 工具 。 

(4) 顾客 服务 : 通过 网 站 可 以 为 顾客 提供 各 种 在 线 服务 和 帮助 信息 , 比如 常见 问题 解 


答 (FAQ) ,在 线 填 写 寻求 帮助 的 表单 ,通过 聊天 实时 回答 顾客 的 咨询 等 。 

(5) 顾客 关系 : 通过 网 络 社区 等 方式 吸引 顾客 参与 ,不 仅 可 以 开展 顾客 服务 ,同时 也 有 
助 于 增进 顾客 关系 。 

(6) 网 上 调查 : 通过 网 站 上 的 在 线 调查 表 , 可 以 获得 用 户 的 反馈 信息 ,用 于 产品 调查 、 
消费 者 行为 调查 .品牌 形象 调查 等 ,是 获得 第 一 手 市 场 资 料 的 有 效 调查 工具 。 

(7) 网 上 联盟 : 为 了 获得 更 好 的 网 上 推广 效果 ,需要 与 供应 商 、 经 销 商 、 客 户 网 站 以 及 
其 他 内 容 互补 或 者 相关 的 企业 建立 合作 关系 ,没有 网 站 ,合作 就 无 从 谈 起 。 

(8) 网 上 销售 : 建立 网 站 及 开展 网 络 营销 活动 的 目的 之 一 是 为 了 增加 销售 ,一 个 功能 
完善 的 网 站 本 身 就 可 以 完成 订单 确认 、 网 上 支付 等 电子 商务 功能 , 即 网 站 本 身 就 是 一 个 销售 
渠道 。 
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3. 企业 网 站 的 要 素 

企业 网 站 是 一 个 可 以 发 布 企业 信息 、 提 供 顾客 服务 ,以 及 在 线 销售 的 渠道 ; 而 在 开发 设 
计 人 员 看 来 ,企业 网 站 无 非 是 一 些 功 能 模块 ,通过 网 页 的 形式 将 前 台 和 后 台 结 合 起 来 。 一 
完整 的 企业 网 站 ,无 论 多 么 复杂 或 多 么 简单 ,都 可 以 划分 为 网 站 结构 、 网 站 内 容 、 网 站 服务 和 
网 站 功能 4 个 组 成 部 分 ,这 4 个 部 分 也 就 是 组 成 企业 网 站 的 一 般 要 素 。 

(1) 网 站 结构 : 为 了 向 用 户 表达 企业 信息 所 采用 的 网 站 栏目 设置 .网 页 布局 、 网 站 导 
航 、 网 址 (URL) 层 次 结构 等 信息 的 表现 形式 等 。 

(2) 网 站 内 容 : 是 用 户 通 过 企业 网 站 可 以 看 到 的 所 有 信息 ,也 就 是 企业 希望 通过 网 站 
向 用 户 传递 的 所 有 信息 。 网 站 内 容 包 括 所 有 可 以 在 网 上 被 用 户 通过 视觉 或 听觉 感知 的 信 
息 ,如 文字 、 图 片 视频、 音频 等 。 一 般 来 说 ,文字 信息 是 企业 网 站 的 主要 表现 形式 。 

(3) 网 站 功能 : 是 为 了 实现 发 布 各 种 信息 ,提供 服务 等 必需 的 技术 支持 系统 。 网 站 功 
能 直接 关系 到 可 以 采用 的 网 络 营销 方法 以 及 网 络 营销 的 效果 。 

(4) 网 站 服务 : 即 网 站 可 以 提供 给 用 户 的 服务 ,如 问题 解答 、 优 惠 信息 、 资 料 下 载 等 。 
网 站 服务 是 通过 网 站 功能 和 内 容 而 实现 的 。 


6.1.2 基于 网 络 营 销 的 企业 网 站 建设 


1. 企业 网 站 建设 存在 的 问题 

《大 型 企业 网 站 营销 状况 研究 报告 通过 对 国内 11 个 行业 的 117 家 大 型 消费 类 企业 网 
站 所 进行 的 系统 调查 发 现 , 大 型 企业 网 站 普遍 存在 的 10 个 问题 是 : 

(1) 总 体 策划 目的 不 明确 ,缺乏 网 络 营销 思想 指导 。 

(2) 栏目 规划 不 合理 ,导航 系统 不 完善 。 

(3) 信息 量 小 ,重要 信息 不 完整 。 

(4) 促销 意识 不 够 明确 。 

(5) 服务 尤其 是 在 线 顾客 服务 比较 欠缺 。 

(6) 对 销售 和 售后 服务 的 支持 作用 未 得 到 合理 发 挥 。 

(7) 在 网 络 营销 资源 积累 方面 缺乏 基本 支持 。 

(8) 过 于 追求 美术 效果 ,美观 有 余 而 实用 不 足 , 甚 至 影响 正常 浏览 和 应 用 。 

(9) 优化 设计 的 基本 思想 和 内 容 没 有 得 到 起 码 的 体现 。 

(10) 访问 量 小 ,急需 有 效 的 网 站 推广 策略 。 
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企业 网 站 之 所 以 存在 这 些 问 题 , 主 要 原因 在 于 对 企业 网 站 本 质 的 认识 不 够 ,网 站 建设 的 
全 局 意识 差 , 以 及 企业 对 网 络 营销 价值 和 策略 没有 足够 的 重视 等 。 因 此 企业 网 站 的 建设 需 
要 引起 足够 的 重视 ,需要 在 网 站 的 易 用 性 、 可 信和 度 、 网 站 优化 等 方面 进行 认真 研究 ,并 学 会 对 
网 站 的 评价 和 诊断 技术 。 

2. 企业 网 站 的 易 用 性 

企业 网 站 应 该 具有 易 用 性 ,网 站 易 用 性 的 核心 思想 是 网 站 设计 以 用 户 为 导向 ,通过 最 简 
单 . 醒 目 、 易 用 的 网 站 要 素 设计 、 清 晰 的 字体 和 和 链接、 网 页 标题 和 内 容 的 可 读 性 、 网 页 设计 对 
搜索 引擎 友好 、 网 页 设计 对 浏览 器 兼容 性 ,合理 利用 音频 视频 等 多 媒体 文件 、 多 语言 版 本 以 
及 适应 不 同 用 户 群体 的 浏览 等 。 美 国 咨询 公司 Nielsen Norman Group 调查 发 现 ,影响 易 用 
性 的 主要 问题 有 : 

(1) 网 站 设计 差 。 

(2) 内 容 贫乏 。 

(3) 产品 介绍 不 完整 令 潜在 客户 产生 疑虑 和 不 信任 。 

(4) 糟糕 的 导航 结构 让 潜在 客户 失去 耐心 等 。 

3. 企业 网 站 的 可 信 度 

网 站 的 可 信和 度 就 是 用 户 对 网 站 的 信任 程度 ,其 对 网 络 营 销 具 有 重要 的 现实 意义 。 据 调 
查 ,影响 网 站 可 信和 度 的 问题 包括 如 下 内 容 : 

(1) 网 站 基本 信息 不 完整 。 如 不 谈 企业 的 产品 .实力 和 信誉 等 问题 。 

(2) 产品 介绍 过 于 简略 ,客户 无 法 判断 产品 的 价值 。 

(3) 没有 明确 的 个 人 信息 保护 声明 ,用 户 注册 时 填写 信息 过 于 详细 。 

(4) 没有 固定 联系 方式 。 

(5) 使 用 免费 邮箱 。 

(6) 网 站 信息 久 不 更 新 。 

(7) 网 站 计数 器 显示 访问 者 数量 少 。 

(8) 付款 方式 的 影响 。 如 收 款 人 是 个 人 储蓄 账户 等 。 

在 基于 网 络 营销 企业 网 站 的 建设 中 需要 认真 对 待 这 些 细节 。 

4. 企业 网 站 的 优化 

为 了 突出 企业 网 站 网 络 营销 的 效果 ,应 该 注意 网 站 的 优化 , 即 通过 对 网 站 功能 .网 站 结 
构 、 网 页 布局 和 内 容 等 关键 要 素 的 合理 设计 ,使 得 网 站 的 功能 和 表现 形式 达到 最 优 效果 ,可 
以 充分 表现 出 网 站 优化 的 期 望 结果 。 网 站 优化 的 含义 包括 对 用 户 优化 、 对 网 络 环境 (包括 搜 
索引 擎 等 ) 优 化 、 对 网 站 维护 优化 3 个 层面 。 网 站 优化 的 设计 应 该 遵循 下 面 的 原则 : 

(1) 坚持 用 户 导向 而 不 是 搜索 引擎 导向 。 

(2) 网 站 优化 的 基础 是 网 站 的 结构 内容、 功能 和 服务 。 


6.1.3 企业 网 站 的 管理 


网 站 管理 的 目的 是 为 了 让 企业 网 站 能 够 长 期 安全 、 稳 定 地 运行 ,及 时 地 调整 和 更 新 网 站 
内 容 , 以 便 在 瞬息 万 变 的 信息 海洋 中 抓 住 更 多 的 商机 。 网 站 管理 是 一 项 专业 性 较 强 的 工作 ， 
其 管理 的 内 容 也 非常 丰富 ,包括 服务 器 及 相关 软 硬 件 的 维护 ,数据库 维护 、 功 能 改进 、 页 面 修 
改 、 信 息 发 布 . 网 站 推广 、 网 站 优化 、 网 络 数据 分 析 、 安 全 管理 等 内 容 。 


本 节 以 SiteFactory 专业 版 为 例 来 说 明 企 业 网 站 的 后 台 管理 操作 ,读者 可 以 登录 
http://demo. powereasy. net 网 站 体验 。SiteFactory 的 后 台 管 理 功 能 主要 包括 我 的 工作 台 、 
信息 管理 .内 容 相 关 、 问 答 管理 .用 户 管理 .附件 管理 和 系统 设置 等 模块 ,其 主页 如 图 6-1 所 示 。 
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图 6-1 SiteFactory 专业 版 后 台 管 理 主页 面 


1. 我 的 工作 台 

(1) 工作 台 首 页 : 不 同 管理 员 拥有 独立 的 管理 界面 ,可 以 自由 对 信息 日历 . 待 签 文章 、 
短 消息 备忘录 等 进行 参数 设置 ,布局 排版 ,添加 删除 。 添 加 模块 的 操作 如 图 6-2 所 示 ,在 
“我 的 工作 台 ” 首 页 中 ,用 鼠标 左 键 单 击 " 内 容 信息 ”下 拉 列 表 框 ,选择 需要 添加 的 模块 ,接着 
选择 其 所 放 的 位 置 : “左边 ”或 右边”, 然后 单 击 “ 添 加 模块 "按钮 即 可 。 
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图 6-2 添加 管理 模块 页 面 


(2) 主题 控制 : 不 同 管理 员 可 以 单独 设置 后 台 管理 的 界面 风格 ,系统 内 置 了 3 套 界面 风 
(3) 快捷 导航 配置 : 在 左 侧 的 “快捷 导航 " 栏 中 ,系统 提供 了 管理 项 目的 拖 忠 排序 功能 。 
用 鼠标 左 键 单 击 管理 项 目 名 后 上 下 拖 动 , 放 咎 到 合适 序 位 后 再 松 开 和 鼠标 左 键 即 可 。 预 设 好 
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管理 项 目 后 ,管理 员 每 次 进入 管理 后 台 都 可 以 单 击 其 项 目 快 速 管理 相关 信息 。 由 于 采用 了 
AJAX 技术 ,以 上 导航 配置 操作 将 实时 保存 。 

(4) 我 的 权限 : 能 够 显示 登录 管理 员 的 后 台 操 作 权限 ,方便 进行 管理 员 管 理 及 权限 调整 等 。 

(5) 修改 密码 : 提供 管理 员 登 录 账 号 的 密码 修改 和 重 置 功能 。 

(6) 使 用 帮助 : 提供 后 台 使 用 时 的 帮助 信息 及 FAQ 等 信息 。 

(7) 切换 管理 员 身 份 : 方便 超级 管理 员 对 下 属 管理 员 进 行 快捷 操作 管理 ,可 以 在 不 退 
出 的 情况 下 进入 到 指定 管理 员 后 台 进行 各 种 管理 操作 。 

(8) 安全 退出 : 提供 管理 员 退 出 管理 后 台 的 快捷 途径 ,避免 账号 异常 丢失 。 

2. 信息 管理 

(1) 内 容 管理 : 如 图 6-3 所 示 ,信息 管理 提供 对 网 站 所 有 信息 进行 添加 、 删 除 、 查 询 、 搜 
索 , 签 收 .审核 ,归档 替换 、 退 稿 等 丰富 的 信息 管理 功能 ,可 按照 栏目 和 专题 两 种 方式 对 信息 
进行 管理 ,以 方便 构建 强大 的 内 容 信息 管理 与 交互 平台 。 
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图 6-3 内 容 管理 页 面 


(2) 自 定义 表单 管理 : 提供 自 定 义 提交 内 容 的 在 线 表单 系统 ,通过 自 定义 表单 系统 可 
以 方便 地 构建 各 种 在 线 提交 表单 ,如 报名 表 ,调查 表 、 预 订 表 等 。 同 时 ,能 够 在 后 台 查 看 每 个 
表单 的 提交 数据 ,并 进行 管理 。 

(3) 专题 内 容 管理 : 提供 快速 构建 各 种 内 容 专 题 的 功能 ,可 以 将 网 站 所 有 信息 有 选择 地 
调用 到 不 同 专题 下 , 且 专 题 支持 自 定义 模板 和 链接 后 缀 。 方 便 用 户 构建 形式 各 样 的 内 容 专题 。 

(4) 节点 搜索 : 提供 对 后 台所 有 节点 的 快速 搜索 功能 ,可 直接 输入 节点 名 称 进 行 便捷 
搜索 和 查找 。 

(5) 图 片 在 线 剪 切 : 提供 了 对 文章 首页 图 片 进 行 在 线 自由 裁剪 的 功能 ,可 根据 首页 图 
片 尺寸 来 自行 裁剪 ,而 无 须 在 其 他 工具 中 处 理 好 才 上 传 ,大 大 减轻 了 管理 员 的 工作 量 , 提 高 
了 工作 效率 。 

(6) 回收 站 管理 : 网 站 所 有 删除 的 信息 都 进入 到 回收 站 进行 保存 ,并 可 以 根据 节点 来 
进行 查询 和 浏览 。 回 收 站 的 所 有 信息 都 提供 了 彻底 删除 与 恢复 功能 ,帮助 用 户 更 有 效 地 对 
信息 内 容 进行 管理 。 

(7) 生成 HTML 管理 : 提供 网 站 静态 页 面 的 生成 管理 功能 。 管 理 员 可 以 根据 内 容 页 、 
栏目 页 .单独 页 面 ,专题 页 面 的 分 类 依次 生成 ; 可 以 按照 时 间 、 生 成 页 面 数量 .信息 ID 号 区 


间 等 分 类 来 生成 ; 也 可 以 定时 定量 对 信息 进行 生成 。 

(8) 签收 管理 : 提供 特殊 信息 的 签收 功能 .可 以 按照 所 有 文档 公众 文档 .专属 文档 、 签 
收 中 的 文档 4 种 分 类 进行 签收 文档 查看 ; 保障 信息 的 保密 性 .时 效 性 和 监督 性 。 

(9) 归档 内 容 : 系统 提供 对 不 想 显示 在 前 台 但 需要 保留 的 这 一 类 信息 进行 存放 的 功 
能 ,用 户 可 以 通过 归档 功能 将 这 类 信息 进行 归档 ,以 便 日 后 进行 搜索 和 再 利用 。 

(10) 批量 替换 : 提供 根据 栏目 ,模型 .模型 中 字段 3 种 条 件 进 行内 容 的 批量 替换 。 批 量 
替换 功能 方便 用 户 对 信息 进行 批量 处 理 , 特 别 是 对 采集 回来 的 文章 .含有 错误 内 容 的 信息 进 
行 替换 操作 ,提升 信息 管理 的 效率 。 

(11) 高 级 查询 : 提供 根据 所 属 节点 .所 属 模型 .所 属 模型 中 字段 3 种 条 件 对 网 站 所 有 信息 
进行 筛选 查询 ,方便 用 户 对 特定 的 批量 信息 进行 搜索 和 管理 ,有 利于 提升 信息 管理 的 效率 。 

3. 内 容 相 关 

(1) 生成 管理 : 生成 管理 包括 生成 内 容 页 、 生 成 单 页 节点 、 生 成 栏目 页 、 生 成 专题 类 别 
页 .生成 专题 列表 页 .生成 网 站 综合 数据 等 功能 。 其 中 ,生成 内 容 页 提供 根据 最 新 N 个 项 目 
进行 生成 ,根据 时 间 段 进行 生成 ,根据 信息 ID 段 进行 生成 ,根据 指定 信息 ID 号 进行 生成 , 根 
据 生成 未 生成 信息 等 多 种 条 件 的 内 容 页 生成 方式 ,操作 页 面 如 图 6-4 所 示 。 
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图 6-4 生成 内 容 页 面 


(2) 采集 项 目 管理 : 如 图 6-5 所 示 ,采集 项 目 管 理 模块 可 以 直接 深入 指定 站 内 或 者 页 面 
中 ,根据 不 同 规则 将 网 页 中 的 有 效 数 据 采 集 出 来 (而 不 仅 是 网 页 或 链接 ) ,保持 数据 之 间 逻 辑 
关系 之 后 ,将 数据 录入 进 网 站 数据 库 中 。 以 维护 一 个 新 闻 站 点 为 例 ,采集 管理 可 以 将 每 个 新 
闻 的 标题 .正文 等 信息 单独 采集 出 来 ,分 别 作为 字段 存储 在 系统 中 。 在 提高 信息 录入 效率 的 
同时 ,也 最 大 限度 地 减轻 用 户 工作 的 负担 。 

(3) 评论 管理 : 提供 强大 的 AJAX. NET 无 刷新 评论 功能 ,不 同 用 户 可 以 针对 某 一 篇 信 
息 发 表 评论 ,同时 可 以 对 评论 观点 进行 多 人 的 辩论 PK ,管理 员 在 后 台 可 以 对 评论 进行 审 
核 修 改 、 回 复 、 删 除 等 操作 。 
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图 6-5 采集 项 目 管理 页 面 


(4) 工作 量 统计 : 为 方便 统计 网 站 中 的 相关 信息 ,管理 员 可 以 按 栏目 /月 份 , 按 栏目 / 录 
信者, 按 栏目 /审核 者 , 按 录 入 者 /月 份 , 按 审核 者 /月 份 统计 网 站 相关 信息 。 

(5) 站 内 链接 管理 : 站 内 链接 是 对 网 站 内 所 有 信息 中 指定 内 容 自 动 添加 指定 链接 目标 
的 功能 ,例如 ,添加 一 个 名 为 “动易 "的 站 内 链接 ,网 站 文章 中 如 果 有 “动易 "字样 时 ,系统 自动 
给 “动易 ”这 个 词 加 上 链接 地 址 ,以 链接 到 一 个 特定 的 页 面 中 。 

(6) 关键 字 过 滤 : 网 站 是 一 个 互动 的 信息 交流 平台 ,会 员 可 以 发 布 信息 、 发 表 评论 等 以 
增强 网 站 的 交互 性 。 但 有 时 会 员 发 布 的 信息 中 会 出 现 一 些 不 想 要 的 信息 ,这 时 可 以 利用 系 
统 提供 的 关键 字 过 滤 功 能 ,自动 过 滤 相关 的 信息 。 

(7) 其 他 管理 : 方便 管理 员 对 网 站 某 些 信息 的 管理 ,如 关键 字 管理 ,作者 管理 .来 源 管 
理 `. 下 载 服务 器 管理 .下 载 报错 管理 等 功能 。 

4. 问答 管理 

问答 管理 提供 对 问答 平台 所 有 问题 和 回答 的 统一 管理 ,能 够 有 效 地 提高 管理 员 对 平台 
中 信息 内 容 的 把 握 和 管理 能 力 。 

(1) 头衔 系列 管理 : 提供 根据 不 同 积分 设置 不 同 头衔 的 功能 , 且 能 够 添加 多 种 不 同 的 
头衔 系列 。 通 过 头衔 系列 功能 能 够 有 效 地 提升 前 台 会 员 的 参与 热情 ,增加 问答 平台 与 网 友 
的 粘性 。 

(2) 问答 积分 明细 管理 : 提供 问答 平台 所 有 积分 明细 查看 功能 ,方便 管理 员 掌 握 积 分 
发 放 情况 ,有效 组 织 各 种 有 奖 活动 和 人 员 奖 励 等 ,增强 整个 问答 平台 的 Web 2. 0 特性 。 

5. 用 户 管理 

(1) 管理 员 管 理 : 管理 员 是 指 网 站 中 拥有 相应 网 站 管理 权限 的 特殊 会 员 , 每 个 管理 员 
都 有 其 相应 的 管理 角色 ,同时 与 前 台 一 个 注册 会 员 相 对 应 。 管 理 员 管 理 可 以 设置 不 同 的 后 
台 管理 权限 。 

(2) 角色 管理 : 角色 是 用 户 在 某 个 环境 中 的 身份 ,这 个 身份 拥有 某 些 与 其 行为 相 匹 配 
的 权限 ,包括 网 站 管理 权限 。 如 果 修 改 了 角色 所 拥有 的 权限 ,其 相应 的 管理 员 权 限 也 将 随 之 
变化 。 角 色 也 是 一 种 自 定义 权限 的 集合 ,在 添加 管理 员 的 时 候 可 以 赋予 管理 员 不 同 的 角色 ， 
也 允许 预 设 多 个 角色 ,并 可 以 为 每 个 角色 指定 相关 管理 权限 。 


(3) 会 员 管理 : 会 员 是 在 本 站 注册 的 用 户 。 管 理 员 可 以 单独 对 某 个 会 员 设 置 不 同 的 权 
限 并 进行 管理 ,也 可 以 利用 会 员 组 功能 以 批量 设置 从 属于 同一 会 员 组 中 的 会 员 权限 。 添 加 
新 会 员 的 页 面 如 图 6-6 所 示 。 
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图 6-6 添加 新 会 员 页 面 


(4) 推广 管理 : 可 对 会 员 注 册 推 广 进行 各 种 管理 ,包括 填写 个 人 推广 会 员 信息 、 查 看 推 
广 项 目 .查询 个 人 推广 情况 等 操作 。 

(5) 充值 卡 管理 : 网 站 中 可 以 发 行 真 实 的 充值 卡 ,会 员 直接 购买 后 可 以 输入 卡号 和 密 
码 进行 充值 (为 了 安全 ,数据 库 中 保存 的 充值 卡 密码 都 是 经 过 加 密 的 )。 也 可 以 通过 网 站 销 
售 虚拟 的 充值 卡 ,会 员 在 购买 虚拟 充值 卡 后 ,在线 获 得 充值 卡号 和 密码 ,并 进行 充值 。 充 值 
卡 充值 的 所 有 操作 都 有 明细 记录 以 供 查 询 。 网 站 充值 卡 功 能 支持 点 数 卡 、 天 数 卡 .月 卡 、 年 
卡 等 类 型 。 添 加 充值 卡 页 面 如 图 6-7 所 示 。 
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图 6-7 添加 充值 卡 页 面 
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(6) 资金 明细 : 本 功能 用 于 记录 、 查 询 和 显示 网 站 中 所 有 资金 明细 在 线 支 付 明 细 , 会 
员 点 券 明细 、 会 员 有 效 期 明细 等 明细 记录 ,以 方便 管理 员 分 析 会 员 消 费 习 惯 ,查询 资金 交易 
记录 。 

(7) 会 员 点 券 明 细 : 本 功能 用 于 记录 ,查询 和 显示 网 站 中 所 有 会 员 的 点 券 消费 情况 . 收 
支 情况 等 明细 记录 ,以 方便 管理 员 分 析 会 员 消费 习惯 ,查询 资金 交易 记录 。 

(8) 会 员 有 效 期 明细 : 本 功能 用 于 记录 ,查询 和 显示 网 站 中 所 有 会 员 的 有 效 期 情况 、 添 
加 扣除 情况 等 明细 记录 。 

(9) 在 线 支 付 明 细 : 本 功能 用 于 记录 ,查询 和 显示 网 站 中 所 有 在 线 支 付 情况 .支付 成 
功 /未 成 功 情况 等 明细 记录 ,以 方便 管理 员 掌 握 网 站 资金 往来 情况 .查询 资金 交易 记录 。 

6. 附件 管理 

(1) 广告 管理 : 广告 管理 中 包含 了 广告 版 位 管理 和 广告 管理 功能 。 广 告 版 位 是 指 预 设 
了 矩形、 横幅 、 弹 出 窗口 、 随 屏 移 动 、 漂 浮 移动 等 类 型 .尺寸 、 显 示 方式 的 广告 类 型 集合 , 它 以 
JS 代 码 的 方式 在 前 台 进 行 调用 。 同 一 广告 版 位 可 以 包含 多 个 广告 ,同一 广告 也 可 以 从 属于 
不 同 的 广告 版 位 ,并 可 设置 广告 权重 及 显示 方式 来 显示 广告 。 添 加 新 广告 页 面 如 图 6-8 
所 示 。 
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图 6-8 添加 新 广告 页 面 


(2) 问卷 调查 管理 : 本 功能 提供 了 较为 丰富 的 表达 定制 功能 ,使 用 内 置 的 功能 项 能 够 
轻松 地 制作 并 实现 各 种 问卷 调查 ,市场 调查 、 报 名 表 制 作 、 酒 店 预 订 等 功能 。 

(3) 网 站 访问 统计 : 本 功能 可 以 方便 站 长 分 析 网 站 的 运营 情况 ; 可 以 查看 访问 统计 分 
析 、 访 问 统计 参数 配置 ,统计 IP 库 添加 ,统计 IP 库 管 理 、 统 计 代码 调用 和 统计 数据 初始 化 等 
功能 分 类 。 系 统 准 确 统计 网 站 的 在 线 用 户 的 详情 ,如 I、 上 站 时 间 、 停 留 时 间 和 所 在 页 面 及 
客户 端 信息 等 ,统计 报告 如 图 6-9 所 示 。 

(4) 信息 发 送 管理 : 会 员 在 网 站 前 台 会 员 中 心 功能 中 ,可 以 利用 系统 提供 的 短 消息 功 
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图 6-9 网 站 统计 报告 页 面 


能 向 其 他 单个 或 多 个 会 员 发 送 站 内 短 消息 。 系 统 后 台 提 供 了 短 消息 管理 功能 ,管理 员 既 可 
以 在 管理 会 员 间 发 送 站 内 短 消息 ,也 可 以 在 后 台 向 指定 的 会 员 或 会 员 组 单 发 或 群发 短 消息 
(前 台 会 员 可 以 在 会 员 中 心 的 短 消 息 管理 中 查阅 到 短 消息 )。 短 消息 管理 页 面 如 图 6-10 所 示 。 
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图 6-10 短 消息 管理 页 面 
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(5) 邮件 列表 管理 : 系统 提供 向 本 站 注册 用 户 所 填写 的 邮件 地 址 批量 发 送 邮 件 的 功能 ， 
理 员 可 以 在 后 台 向 指定 的 会 员 或 会 员 组 单 发 或 群发 邮件 。 邮 件 发 送 页 面 如 图 6-11 所 示 。 
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图 6-11 邮件 发 送 页 面 


(6) 网 站 日 志 管理 : 系统 提供 站 内 日 志 功 能 ,对 管理 员 登 录 .日 常 操作 `. 越 权 操作 、 黑 客 
攻击 等 都 将 以 日 志方 式 进 行 记 录 ,方便 超级 管理 员 进 行 查询 。 超 级 管理 员 可 以 删除 和 清空 
两 天 前 的 日 志 ( 两 天 内 的 日 志 即 使 是 超级 管理 员 也 不 能 删除 ) 。 超 级 管理 员 可 以 随时 通过 日 
志 分 析 发 现 问题 出 现 的 原因 。 

(7) 在 线 比 较 文件 : 在 线 比 较 网 站 文件 功能 是 在 线 比 较 Web 空间 中 的 网 站 可 运行 文件 
和 动易 官方 发 布 的 相应 版 本 中 原始 可 运行 文件 ,方便 管理 员 对 比 和 管理 Web 空间 文件 。 

(8) 上 传 文件 管理 : 在 添加 信息 时 经 常 要 上 传 图 片 等 文件 ,系统 提供 了 上 传 文件 管理 
功能 ,以 方便 用 户 管理 所 上 传 的 图 片 .Word 文档 、 压 缩 包 等 文件 。 对 于 图 片 类 型 的 文件 ,可 
以 进行 鼠标 预览 或 以 缩 略 图 方式 预览 。 同 时 ,在 服务 器 空间 有 限时 ,可 以 删除 不 再 使 用 的 文 
件 , 以 节省 空间 。 上 传 文件 管理 页 面 如 图 6-12 所 示 。 

(9) 缓存 管理 : 为 了 加 快 访问 速度 ,系统 全 面 引 入 服务 器 端 缓存 技术 。 缓 存 可 以 先 把 
数据 预 写 到 服务 器 的 缓存 中 ,需要 时 直接 从 缓存 中 读 出 而 无 须 在 数据 库 中 进行 数据 库 查 询 ， 
这 就 缩短 了 CPU 的 运算 时 间 以 减少 服务 器 端 压 力 , 加 快 客户 端的 浏览 速度 。 

7. 系统 设置 

(1) 网 站 配置 : 提供 网 站 基本 信息 的 快速 配置 功能 ,如 网 站 的 名 称 、 标 题 、 网 站 地 址 、 
Logo 与 Banner 地 址 、 站 长 姓名 与 信箱 、 版 权 、 网 站 Meta 关键 词 与 网 页 描述 、 缩 略图 设置 、 
WAP/RSS 功能 设置 .手机 短信 、IP 限制 设置 ,用户 参 数 设置 等 基本 信息 。 

(2) 内 容 模型 管理 : 内 容 模型 是 网 站 内 某 类 功能 管理 的 集合 体 。 根 据 栏 目 需要 预先 设 
置 好 相应 字段 及 其 属性 以 适用 于 不 同 的 用 途 , 所 有 模型 的 所 有 字段 都 可 以 由 企业 用 户 进 行 
控制 。 内 容 模型 可 以 根据 不 同 的 应 用 需求 快捷 有 效 地 设置 和 管理 不 同类 型 .不 同属 性 的 信 
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图 6-12 上 传 文件 管理 页 面 


息 ,如 “文章 ”“ 下 载 "“ 图 片 ”“ 内 容 ”“ 公 告 "“ 友 情 链接 ”“ 留 言 "“ 供 求 信息 ”“ 房 产 信 
息 ” 等 功能 模块 。 

(3) 节点 管理 : 节点 是 为 了 对 信息 进行 分 类 管理 而 设 定 的 分 类 方式 ; 可 以 设置 不 同 的 
管理 权限 和 访问 权限 ,同时 可 以 指定 不 同 的 模板 ; 可 以 分 为 栏目 节点 、 单 页 节点 、 外 部 链接 
等 多 个 类 型 。 节 点 是 传统 网 站 栏目 和 频道 的 高 级 应 用 ,可 以 更 高 效 、 合 理 地 构建 网 站 栏目 和 
管理 网 站 栏目 。 

(4) 专题 管理 : 将 分 布 在 不 同 栏目 的 信息 按 某 一 主题 进行 分 类 和 汇总 ,如 某 些 信息 虽 
分 布 在 不 同 的 栏目 ,但 同属 于 一 个 主题 ,这 时 就 可 以 建立 专题 进行 管理 ,从 而 为 网 站 的 信息 
分 类 提供 极 大 的 灵活 度 。 专 题 类 别 的 添加 页 面 如 图 6-13 所 示 。 
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图 6-13 专题 类 别 添加 页 面 


(5) 模板 标签 管理 : 独创 的 “Xpower 模板 引擎 ”模式 ,吸取 了 XML、XSLT 等 技术 的 优 
点 ,将 VS2005 中 的 很 多 概念 重 构 为 可 在 线 使 用 的 版 本 ,引入 了 如 “数据 源 ”“ 字 段 格式 处 
理 ”“ 内 容 标签 "“ 循 环 标签 "”“ 自 由 分 页 ”等 方法 ,成 功 实现 了 完全 跨 页 面 的 标签 调用 方式 
和 标签 无 限 级 嵌 套 等 功能 。 软 件 使 用 者 借助 “网 站 模板 与 网 站 程序 完全 分 离 ” 和 “模板 方案 ” 
的 全 新 概念 ,让 网 站 的 模板 设计 与 程序 彻底 分 开 。 可 以 为 每 个 频道 ,栏目 甚至 内 容 页 面 设置 不 
同 的 模板 ,随时 编辑 .修改 网 站 界面 ,更 能 够 一 键 切换 预 设 的 模板 方案 ,瞬间 更 换 网 站 界面 。 
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(6) 数据 字典 管理 : 由 于 企业 在 不 同行 业 \ 不 同 领域 都 有 自己 的 客户 群体 ,其 关系 信息 
有 着 很 大 的 区 别 。 为 此 系统 提供 了 灵活 便捷 的 “数据 字典 ”功能 ,根据 企业 的 实际 客户 定位 
与 需要 ,合理 设置 如 客户 区 域 /所 属 行业 /价值 评估 等 各 项 参数 ,对 系统 提供 的 客户 关系 管理 
中 相关 信息 进行 个 性 化 设置 ,方便 企业 实现 以 客户 为 中 心 的 管理 思想 ,始终 专注 于 客户 生命 
周期 价值 ,为 企业 发 展 带 来 更 强 的 竞争 能 力 。 

(7) 行政 区 划 管 理 : 行政 区 划 是 国家 对 地 方 行政 区 域 \ 行 政 建制 的 划分 与 设置 ,如 省 、 
市 . 州 、 县 、 乡 、 镇 等 。 系统 提供 了 行政 区 划 管 理 和 预 设 功能 , 预 设 好 相关 行政 区 划 后 ,在 网 站 
后 台 设 置 (如 * 所 在 的 地 区 ”) ,前台 客 户 订购 流程 中 “收银 台 ” 的 收 货 人 地 址 等 操作 中 可 以 快 
捷 地 选择 所 属 的 行政 区 划 。 

(8) 银行 账户 管理 : 在 银行 账户 中 可 以 添加 和 设置 网 站 中 所 使 用 的 银行 账户 ,以 方便 
客户 在 选 购 商 品 并 提交 订单 后 能 查阅 与 选择 相应 的 银行 账户 进行 付款 。 银 行 账户 可 用 于 会 
员 资 金管 理 与 消费 管理 中 各 种 收费 管理 操作 ,同时 也 用 于 按 银行 名 查询 资金 明细 记录 。 添 
加 银行 账户 页 面 如 图 6-14 所 示 。 
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图 6-14 添加 银行 账户 页 面 


(9) 在 线 支付 平台 管理 : 系统 内 置 了 13 种 在 线 支 付 平台 接口 ,软件 用 户 只 需 输入 相应 
的 密 钥 和 信息 就 可 以 使 用 了 。 这 些 平台 包括 财 付 通 、 支 付 宝 、 快 钱 、 上 海 环 讯 .网银 在 线 、 云 
网 支付 . 易 付 通 等 。 添 加 在 线 支付 平台 页 面 如 图 6-15 所 示 。 
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图 6-15 添加 在 线 支付 平台 页 面 


6.2 网络 布线 管理 


6.2.1 网 络 综合 布线 系统 


1. 网 络 综合 布线 系统 的 基本 概念 

网 络 综合 布线 系统 (以 下 简称 “综合 布线 系统 ”) 是 一 套用 于 建筑 物 内 或 建筑 群 之 间 为 计 
算 机 ,通信 设施 与 监控 系统 预先 设置 的 信息 传输 通道 。 它 将 语音 、 数 据 、 图 像 等 设备 彼此 相 
连 ,同时 能 使 上 述 设备 与 外 部 通信 数据 网 络 相 连接 。 综 合 布线 系统 为 智能 大 厦 和 智能 建筑 
群 中 的 信息 设施 提供 了 多 厂家 产品 兼容 ,模块 化 扩展 、 更 新 与 系统 灵活 重组 的 可 能 性 。 既 为 
用 户 创造 了 现代 信息 系统 环境 ,强化 了 控制 与 管理 ,又 为 用 户 节约 了 费用 ,保护 了 投资 。 综 
合 布线 系统 已 成 为 现代 化 建筑 的 重要 组 成 部 分 。 

2. 综合 布线 系统 的 特点 

采用 星 型 拓扑 结构 模块 化 设计 的 综合 布线 系统 ,与 传统 的 布线 相 比 具有 开放 性 、 灵 活 
性 、 模 块 化 .扩展 性 及 独立 性 等 特点 。 

(1) 开放 性 : 综合 布线 系统 采用 开放 式 体系 结构 ,符合 国际 标准 , 它 几 乎 对 所 有 厂商 的 
产品 都 是 开放 的 。 使 得 设备 的 更 换 或 网 络 结构 的 变化 都 不 会 导致 综合 布线 系统 的 重新 铺 
设 , 只 需 进行 简单 的 跳 线 管理 即 可 。 

(2) 灵活 性 : 综合 布线 系统 采用 星 型 结构 ,可 以 在 综合 布线 系统 管理 间 进 行 灵活 的 跳 
线 管理 ,使 系统 变化 成 星 型 . 环 型 ,总线 型 等 不 同 的 逻辑 结构 ,实现 不 同 拓扑 结构 的 组 网 需 
求 ; 当 终 端 设备 位 置 需 要 改变 时 ,除了 进行 跳 线 管理 外 ,不 需要 进行 更 多 的 布线 改变 ; 同 
时 ,综合 布线 系统 还 能 够 满足 多 种 应 用 的 要 求 ,能 够 灵活 地 连接 不 同类 型 的 应 用 设备 。 

(3) 模块 化 : 综合 布线 系统 的 接 插 元 件 , 如 配 线 架 .终端 模块 等 采用 积木 式 结构 ,可 以 
方便 地 进行 更 换 插 拔 , 使 管理 .扩展 和 使 用 变 得 十 分 简单 。 

(4) 扩展 性 : 综合 布线 系统 严格 遵循 国际 标准 ,因此 ,无 论 计 算 机 设备 .通信 设备 .控制 
设备 随 技术 如 何 发 展 ,将 来 都 可 很 方便 地 将 这 些 设备 连 接 到 系统 中 去 。 综 合 布线 系统 灵活 
的 配置 为 应 用 的 扩展 提供 了 较 高 的 裕 量 。 系 统 采用 光纤 和 双 绞 线 作 为 传输 介质 ,为 不 同 应 
用 提供 了 合理 的 选择 空间 。 

(5) 独立 性 : 综合 布线 系统 的 最 根本 的 特点 是 独立 性 。 采 用 综合 布线 方式 进行 物理 布 
线 时 ,不 必 过 多 地 考虑 网 络 的 逻辑 结构 ,更 不 需要 考虑 网 络 服务 和 网 络 管理 软件 ,也 就 是 说 ， 
综合 布线 系统 与 应 用 具有 独立 性 。 

3. 综合 布线 系统 的 组 成 

如 图 6-16 所 示 ,综合 布线 系统 由 工作 区 子 系统 、 水 平 区 子 系统 ,管理 间 子 系统 、 垂 直 干 
线 子 系统 .设备 间 子 系统 及 建筑 群 子 系统 6 个 子 系统 组 成 。 由 于 采用 星 型 结构 ,任何 一 个 子 
系统 都 可 独立 地 接 入 综合 布线 系统 中 。 因 此 ,系统 易于 扩充 ,布线 易于 重新 组 合 , 也 便于 查 
找 和 排除 故障 。 

(1) 工作 区 子 系统 

工作 区 子 系统 是 一 个 可 以 独立 设置 终端 设备 的 区 域 ,该 子 系统 包括 水 平 配 线 系统 的 信 
息 插 座 .连接 信息 插座 和 终端 设备 的 跳 线 以 及 适配器 。 工 作 区 的 服务 面积 一 般 可 按 5 一 
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图 6-16 综合 布线 系统 


10m? 估算 ,工作 区 内 信息 点 的 数量 根据 相应 的 设计 等 级 要 求 设置 。 工 作 区 的 每 个 信息 插座 
都 应 该 支持 电话 机 、 数 据 终端 .计算 机 及 监视 器 等 终端 设备 。 

(2) 水 平 区 子 系统 

水 平 区 子 系统 应 由 工作 区 用 的 信息 插座 ,楼层 分 配 线 设备 至 信息 插座 的 水 平 电缆 ,楼 层 
配 线 设 备 和 跳 线 等 组 成 。 一 般 情况 下 ,水 平 电费 应 采用 4 对 双 绞 线 电缆 。 在 水 平 区 子 系统 
中 有 高 速率 应 用 的 场合 ,应 采用 光缆 , 即 光 纤 到 桌面 。 水 平 区 子 系统 根据 整个 综合 布线 系统 
的 要 求 ,应 在 二 级 交接 间 、 交 接 间 或 设备 间 的 配 线 设 备 上 进行 连接 ,以 构成 电话 、 数 据 ,电视 
系统 和 监视 系统 ,并 方便 地 进行 管理 。 水 平 区 子 系统 的 电缆 长 度 应 小 于 90m', 信息 插座 应 在 
内 部 做 固定 线 连 接 。 

(3) 管理 间 子 系统 

管理 间 子 系统 设置 在 楼 层 分 配 线 设 备 的 房间 内 。 管 理 间 子 系统 应 由 交接 间 的 配 线 设 
备 . 输 入 输出 设备 等 组 成 ,也 可 应 用 于 设备 间 子 系统 中 。 管 理 间 子 系统 应 采用 单 点 管理 双 交 
接 ,交接 场 的 结构 取决 于 工作 区 综合 布 线 系统 的 规模 和 选用 的 硬件 。 在 管理 规模 大 、 复 杂 
度 高 有 二 级 交接 间 时 才 设 置 双 点 管理 双 交 接 。 在 管理 点 ,应 根据 应 用 环境 用 标记 插入 条 来 
标 出 各 个 端 接 场 。 交 接 区 应 有 良好 的 标记 系统 ,如 建筑 物 名 称 、 建 筑 物 位 置 . 区 号 .起 始点 和 
功能 等 标志 。 交 接 间 和 二 级 交接 间 的 配 线 设备 应 采用 色 标 区 别 各 类 用 途 的 配 线 区 。 

(4) 垂直 干线 子 系统 

垂直 干线 子 系统 应 由 设备 间 的 配 线 设备 和 跳 线 ,以 及 设备 间 至 各 楼 层 分 配 线 间 的 连接 
电缆 组 成 。 在 确定 垂直 子 系统 所 需要 的 电缆 总 对 数 之 前 ,必须 确定 电缆 中 语音 和 数据 信和 号 
的 共享 原则 。 对 于 基本 型 ,每 个 工作 区 可 选 定 2 对 双 绞 线 ; 对 于 增强 型 ,每 个 工作 区 可 选 定 
3 对 双 绞 线 ; 对 于 综合 型 ,每 个 工作 区 可 在 基本 型 或 增强 型 的 基础 上 增设 光缆 系统 。 

如 果 设 备 间 与 计算 机 机 房 处 于 不 同 的 地 点 ,而 且 需 要 把 语音 电缆 连 至 设备 间 ,把 数据 电 
缆 连 至 计算 机 机 房 , 则 应 在 设计 中 选取 不 同 的 干线 电缆 或 干线 电缆 的 不 同 部 分 来 分 别 满足 
不 同 路 由 的 语音 和 数据 需要 。 当 必要 时 ,也 可 以 采用 光缆 系统 予以 满足 。 

(5) 设备 间 子 系统 

设备 间 是 在 每 一 幢 大 楼 的 适当 地 点 设置 进 线 设备 ,进行 网 络 管理 以 及 管理 人 员 值 班 的 


场所 。 设 备 间 子 系统 应 由 综合 布线 系统 的 建筑 物 进 线 设 备 ` 电 话 、 数 据 . 计 算 机 等 各 种 主机 
设备 及 其 保安 配 线 设 备 等 组 成 。 设 备 间 内 的 所 有 进 线 终端 设备 应 采用 色 标 区 别 各 类 用 途 的 
配 线 区 。 设 备 间 位 置 及 大 小 应 根据 设备 的 数量 规模、 最 佳 网 络 中 心 等 内 容 综合 考虑 确定 。 

(6) 建筑 群 子 系统 

建筑 群 子 系统 由 2 个 以 上 建筑 物 的 电话 .数据 ,监视 系统 组 成 的 建筑 群 综 合 布线 系统 ， 
其 连接 各 建筑 物 之 间 的 缆 线 和 配 线 设 备 ,组 成 建筑 群 子 系统 。 建 筑 群 子 系统 应 采用 地 下 管 
道 敷设 方式 ,管道 内 敷设 的 铜 缆 或 光缆 应 遵循 电话 管道 和 入 孔 的 各 项 设计 规定 。 此 外 ,安装 
时 至 少 应 予 留 1 一 2 个 备用 管 孔 ,以 供 扩充 之 用 。 建 筑 群 子 系统 采用 直 埋 沟 内 敷设 时 ,如 果 
在 同一 个 沟 内 埋 人 了 其 他 的 图 像 .监控 电缆 ,应 设立 明显 的 共用 标志 。 


6.2.2 网 络 综合 布线 工程 设计 


1. 工作 区 子 系统 设计 

工作 区 子 系统 由 终端 设备 和 连接 到 信息 插座 的 跳 线 组 成 , 它 包 括 信息 插座 、 信 息 模块 、 
网 卡 和 连接 所 需 的 跳 线 , 并 在 终端 设备 和 输入 输出 之 间 搭 接 , 相 当 于 电话 配 线 系统 中 连接 话 
机 的 用 户 线 及 话机 终端 部 分 。 终 端 设备 可 以 是 电话 、PC 和 数据 终端 ,也 可 以 是 绘图 仪 、 打 
印 机 或 扫描 仪 。 

(1) 设计 要 点 

。 工 作 区 内 线 槽 要 布局 合理 美观。 
。 信息 插座 要 设计 在 距离 地 面 30cm 以 上 。 
。 信息 插座 与 计算 机 设备 的 距离 保持 在 5m 范围 内 。 
。 购买 的 网 卡 类 型 接口 要 与 线 线 类 型 接口 保持 一 致 。 
。 确定 所 有 工作 区 所 需 的 信息 模块 .信息 插座 ,面板 的 数量 。 
。 确定 RJ-45 接头 所 需 的 数量 。 
(2) 所 需 配 件 的 计算 
。 RJ-45 接头 的 需求 量 一 般 用 下 述 公 式 计算 : 
m=nX4+nX4X15% 

其 中 ,m 为 RJ-45 总 需求 量 ; n 为 信息 点 的 数量 ; nX4X15% 为 留 有 的 富余 量 。 

。 信息 模块 的 需求 量 一 般 用 下 述 公式 计算 : 
m=n+nX3% 

其 中 ,m 为 信息 模块 的 总 需求 量 ; n 为 信息 点 的 总 量 ; nX3% 为 留 有 的 富余 量 。 
。 每 个 工作 区 至 少 要 配置 一 个 插座 盒 。 对 于 难以 再 增加 插座 盒 的 工作 区 ,要 至 少 安装 

两 个 分 离 的 插座 盒 。 

2. 水 平 区 子 系统 设计 

水 平 区 子 系统 是 从 工作 区 的 信息 插座 开始 到 管理 间 子 系统 的 配 线 架 ,设计 涉及 水 平 区 
子 系统 的 传输 介质 和 部 件 集成 。 

水 平 布线 可 选择 的 介质 有 3 种 (100Q 的 UTP 电缆 、150Q 的 STP 电缆 及 62. 5/125pm 
光缆 ) ,最 远 的 延伸 距离 为 90m, 除 了 90m 水 平 电缆 外 ,工作 区 与 管理 子 系统 的 接 插 线 和 路 
接线 电费 的 总 长 可 达 10m。 一般 情况 下 ,水 平 电缆 应 采用 4 对 双 绞 线 电 缆 。 在 水 平 区 子 系 
统 有 高 速率 应 用 的 场合 ,应 采用 光缆 , 即 光纤 到 桌面 。 水 平 区 子 系统 根据 整个 综合 布线 系统 
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的 要 求 ,应 在 二 级 交接 间 、 交 接 间 或 设备 间 的 配 线 设备 上 进行 连接 ,以 构成 电话 、 数 据 , 电 视 
系统 和 监视 系统 ,并 方便 地 进行 管理 。 
(1) 设计 要 点 
。 根据 工程 提出 近期 和 远 期 的 终端 设备 要 求 。 
。 每 层 需要 安装 的 信息 插座 数量 及 其 位 置 。 
。 终端 将 来 可 能 产生 移动 .修改 和 重新 安排 的 详细 情况 。 
。 一 次 性 建设 与 分 期 建设 的 方案 比较 。 
。 确定 线路 走向 。 
。 线 缆 、 槽 、 管 的 数量 和 类 型 。 
。 采用 吊 杆 还 是 托 架 方式 走 线 槽 。 
。 语音 点 .数据 点 互 换 时 ,要 注意 语音 水 平 线 缆 与 数据 线 缆 的 类 型 。 
确定 线路 走向 一 般 要 由 有 用户、 设计 人 员 .施工 人 员 到 现场 根据 建筑 物 的 物理 位 置 和 施工 
难 易 度 来 确立 。 信 息 插座 的 数量 和 类 型 .电缆 的 类 型 和 长 度 一 般 在 总 体 设计 时 便 已 确立 ,但 
考虑 到 产品 质量 和 施工 人 员 的 误 操 作 等 因素 ,在 订购 时 要 留 有 余地 。 
在 水 平 布线 通道 内 ,关于 电信 电缆 与 分 支 电源 电缆 需 说 明 以 下 几 点 : 
。 屏蔽 的 电源 导体 (电缆 ) 与 电信 电缆 并 线 时 不 需要 分 隔 。 
。 可 以 用 电源 管道 障碍 (金属 或 非 金属 ) 来 分 隔 电信 电缆 与 电源 电缆 。 
。 对 非 屏 蔽 的 电源 电缆 ,最 小 距离 为 0. 1m。 
。 在 工作 站 的 信息 口 或 间隔 点 ,电信 电缆 与 电源 电线 的 距离 最 小 应 为 0. 06m。 
水 平 间 设计 的 最 后 一 点 是 确定 水 平 间 与 干线 接合 配 线 管理 设备 。 打 吊 杆 走 线 槽 时 ,一 
般 是 间距 lm 左右 设置 一 对 吊 杆 。 吊 杆 的 总 量 应 为 水 平 干线 的 长 度 (m) X2( 根 )。 使 用 托 
架 走 线 槽 时 ,一 般 是 1 一 1. 5m 安装 一 个 托 架 , 托 架 的 需求 量 应 根据 水 平 干线 的 实际 长 度 计 
算 。 托 架 应 根据 线 槽 走向 的 实际 情况 来 选 定 。 
水 平 布线 是 将 电缆 线 从 管理 间 子 系统 的 配 线 间 接 到 每 一 楼 层 的 工作 区 的 信息 输入 输出 
插座 上 。 设 计时 要 根据 建筑 物 的 结构 特点 ,从 路 由 ( 线 ) 最 短 .造价 最 低 .施工 方便 、 布 线 规范 
等 几 个 方面 考虑 。 由 于 建筑 物 中 的 管线 比较 多 ,往往 要 遇 到 一 些 矛 盾 , 所 以 ,设计 水 平 区 子 
系统 时 必须 折 中 考虑 ,择优 选择 最 佳 的 水 平 布线 方案 。 一 般 可 采用 以 下 3 种 方式 : 直接 埋 
管 式 ; 先 走 吊顶 内 线 槽 ,再 走 支管 到 信息 出 口 的 方式 ; 适合 大 开间 及 后 打 隔 断 的 地 面 线 槽 
广 起 。 
(2) 计算 电缆 公式 
。 订货 总 量 (总 长 度 zz) 一 所 需 总 长 十 所 需 总 长 X10% 十 zX6 
其 中 ,所 需 总 长 指 条 布线 电缆 所 需 的 理论 长 度 ; 所 需 总 长 X10% 为 备用 部 分 ; nX 
6 为 端 接 容 差 。 

。 整 幢 楼 的 用 线 量 = 学 NC 
其 中 ,N 为 楼 层 数 ; C 为 每 层 楼 用 线 量 , 且 C=[0.55X(L 十 S) 二 6]Xn 
该 式 中 的 工 为 本 楼 层 离 水 平 间 最 远 的 信息 点 距离 ; S 为 本 楼 层 离 水 平 间 最 近 的 信 
息 点 距离 ; n 为 本 楼 层 的 信息 插座 总 数 。 

。 用 线 总 长 度 =A 十 B/2XnX3.3X1.2 

其 中 ,A 为 最 短信 息 点 长 度 ; B 为 最 长 信息 点 长 度 ; n 为 楼 内 需要 安装 的 信息 点 数 ; 系 


数 3.3 的 意义 为 将 米 换算 成 英尺 ; 1. 2 为 余 量 参数 (富余 量 )。 

。 用 线 箱 数 王 总 长 度 /1000 十 1 

3. 徘 直 干线 子 系统 设计 

垂直 干线 子 系统 的 任务 是 通过 建筑 物 内 部 的 传输 电缆 ,把 各 个 服务 接线 间 的 信号 传送 
到 设备 间 ,直到 传送 到 最 终 接 口 ,再 通 往外 部 网 络 。 它 必须 满足 当前 的 需要 ,又 要 适应 今后 
的 发 展 。 垂 直 干线 子 系统 的 结构 是 一 个 星 型 结构 。 

垂直 干线 子 系统 包括 供 各 条 干线 接线 间 之 间 的 电缆 走 线 用 的 竖 向 或 横向 通道 , 主 设备 
间 与 计算 机 中 心间 的 电缆 两 项 。 

1) 设计 要 点 

。 确定 每 层 楼 的 干线 要 求 。 

。 确定 整 座 楼 的 干线 要 求 。 

。 确定 从 楼 层 到 设备 间 的 干线 电缆 路 由 。 

。 确定 干线 接线 间 的 结合 方法 。 

。 选 定 干线 电缆 的 长 度 。 

2) 垂直 干线 子 系统 设计 方法 

确定 从 管理 间 到 设备 间 的 干线 路 由 ,应 选择 干线 段 最 短 、 最 安全 和 最 经 济 的 路 由 ,在 大 
楼 内 通常 有 如 下 两 种 方法 。 

(1) 电缆 孔 方 法 : 干线 通道 中 所 用 的 电缆 孔 是 很 短 的 管道 ,通常 用 直径 为 10cm 的 钢 性 
金属 管 做 成 。 它 们 腐 在 混凝土 地 板 中 ,这 是 在 浇注 混凝土 地 板 时 艇 入 的 , 比 地板 表 面 高 出 
2. 5 一 10cm。 电 缆 往 往 捆 在 钢 强 上 ,而 钢 强 又 固定 到 墙 上 已 锦 好 的 金属 条 上 。 当 配 线 间 上 
下 都 对 齐 时 ,一 般 采 用 电缆 孔 方 法 。 

(2) 电缆 井 方 法 : 电缆 井 方法 常用 于 干线 通道 。 电 缆 井 是 指 在 每 层 楼 板 上 开 出 一 些 方 
孔 , 使 电缆 可 以 穿 过 这 些 方 孔 并 从 某 层 楼 伸 到 相 邻 的 楼 层 。 电 缆 井 的 大 小 依 所 用 电缆 的 数 
量 而 定 。 与 电缆 孔 方 法 一 样 ,电缆 也 是 捆 在 或 籍 在 支撑 用 的 钢 绳 上 , 钢 绳 靠 墙 上 金属 条 或 地 
板 三 脚 架 固定 住 。 离 电缆 井 很 近 的 墙 上 立 式 金属 架 可 以 支撑 很 多 电缆 。 电 缆 井 的 选择 性 非 
常 灵活 ,可 以 让 粗细 不 同 的 各 种 电缆 以 任何 组 合 方式 通过 。 电 费 井 方法 虽然 比 电费 孔 方 法 
灵活 ,但 在 原 有 建筑 物 中 开 电 缆 井 安装 电缆 造价 较 高 , 它 的 另 一 个 缺点 是 使 用 的 电缆 井 很 难 
防火 。 如 果 在 安装 过 程 中 没有 采取 措施 防止 损坏 楼 板 支撑 件 , 则 楼 板 的 结构 完整 性 将 受到 
破坏 。 

在 多 层 楼 房 中 ,经 常 需 要 使 用 干线 电缆 的 横向 通道 才能 从 设备 间 连 接 到 干线 通道 ,以 及 
在 各 个 楼 层 上 从 二 级 交接 间 连 接 到 任何 一 个 配 线 间 。 

3) 注意 事项 

(1) 光纤 铺设 注意 事项 

。 光纤 电缆 铺设 时 不 应 该 绞 结 。 

。 光纤 电缆 在 室内 布线 时 要 走 线 槽 。 

。 光纤 电缆 在 地 下 管道 中 穿 过 时 要 用 PVC 管 。 

。 光纤 电缆 需要 拐弯 时 ,其 曲率 半径 不 能 小 于 30cm。 

。 光纤 电缆 的 室外 裸露 部 分 要 加 铁 管 保护 , 铁 管 要 固定 牢固 。 

。 光线 电缆 不 要 拉 得 太 紧 或 太 松 ,要 有 一 定 的 膨胀 收缩 余 量 。 
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。 光线 电缆 埋 地 时 ,要 加 铁 管 保护 。 

(2) 双 绞 线 铺设 注意 事项 

。 双 绞 线 铺设 时 线 要 平 直 , 走 线 槽 ,不 要 扭曲 。 

。 双 绞 线 的 两 端点 要 标号 。 

。 双 绞 线 的 室外 部 分 要 加 套 管 ,严禁 搭 接 在 树干 上 。 

。 双 绞 线 不 要 抛 硬 弯 。 

4. 管理 间 子 系统 设计 

1) 设计 要 点 

管理 间 子 系统 的 设计 主要 包括 管理 交接 方案 、 管 理 连 接 硬件 和 管理 标记 。 管 理 交 接 方 
案 提供 了 交 连 设备 与 水 平 线 缆 、 干 线 线 缆 连 接 的 方式 ,从 而 使 综合 布线 及 其 连接 的 应 用 系统 
设备 .器 件 等 构成 一 个 有 机 的 整体 ,并 为 线路 调整 管理 提供 了 方便 。 

管理 间 子 系统 使 用 色 标 来 区 分 配 线 设备 的 性 质 , 标 识 按 性 质 排列 的 接线 模块 ,标明 端 接 
区 域 物理 位 置 .编号 .容量 ,规格 等 ,以 便 维护 人 员 在 现场 一 目 了 然 地 加 以 识别 。 综 合 布线 
使 用 3 种 标记 : 电缆 标记 、 场 标记 和 插 和 标记。 电缆 和 光缆 的 两 端 应 采用 不 易 脱 落 和 磨损 
的 不 干 胶 条 标明 相同 的 编号 。 

2) 管理 间 子 系统 的 管理 标识 编制 的 原则 

(1) 规模 较 大 的 综合 布线 系统 应 采用 计算 机 进行 标识 管理 ,简单 的 综合 布线 系统 应 按 
图 纸 资料 进行 管理 ,并 应 做 到 记录 准确 、 更 新 及 时 、 便 于 查阅 。 

(2) 综合 布线 系统 的 每 条 电缆 .光缆 、 配 线 设 备 、 端 接点 ,安装 通道 和 安装 空间 均 应 给 定 
唯一 的 标志 。 标 志 中 可 包括 名 称 、 颜 色 、 编 号 ,字符 串 或 其 他 组 合 。 

(3) 配 线 设备 、 线 绕 ,信息 插座 等 硬件 均 应 设置 不 易 脱 落 和 磨损 的 标识 ,并 应 有 详细 的 
书面 记录 和 图 纸 资料 。 

(4) 电缆 和 光缆 的 两 端 均 应 标明 相同 的 编号 。 

(5) 设备 间 、 交 接 间 的 配 线 设备 宜 采用 统一 的 色 标 区 别 各 类 用 途 的 配 线 区 。 

3) 管理 间 子 系统 交接 方案 

管理 间 子 系统 的 交接 方案 有 单 点 管理 和 双 点 管理 两 种 。 交 接 方 案 的 选择 与 综合 布线 系 
统 规模 有 直接 关系 ,一般 来 说 , 单 点 管理 交接 方案 应 用 于 综合 布线 系统 规模 较 小 的 场合 ,而 
双 点 管理 交接 方案 应 用 于 综合 布线 系统 规模 较 大 的 场合 。 

(1) 单 点 管理 交接 方案 

单 点 管理 属于 集中 型 管理 ,通常 线路 只 在 设备 间 进 行 跳 线 管理 ,其 余地 方 不 再 进行 跳 线 
管理 , 线 缆 从 设备 间 的 线路 管理 区 引出 ,直接 连 到 工作 区 ,或 直接 连 至 第 二 个 接线 交接 区 。 

单 点 管理 交接 方案 中 管理 器 件 放置 于 设备 间 内 ,由 它 来 直接 调度 控制 线路 ,实现 对 终端 
用 户 设备 的 变更 调控 。 单 点 管理 又 可 分 为 单 点 管理 单 交接 和 单 点 管理 双 交接 两 种 方式 。 单 
点 管理 双 交接 方式 中 ,第 二 个 交接 区 可 以 放 在 楼 层 配 线 间 或 放 在 用 户 指定 的 墙壁 上 。 

(2) 双 点 管理 交接 方案 

双 点 管理 属于 集中 、 分 散 型 管理 , 除 在 设备 间 设 置 一 个 线路 管理 点 外 ,在 楼 层 配 线 间 或 
二 级 交接 间 内 还 设置 第 二 个 线路 管理 点 。 这 种 交接 方案 比 单 点 管理 交接 方案 提供 了 更 加 灵 
活 的 线路 管理 功能 ,可 以 方便 地 对 终端 用 户 设备 的 变动 进行 线路 调整 。 

一 般 在 管理 规模 比较 大 ,而 且 复 杂 又 有 二 级 交接 间 的 场合 ,采用 双 点 管理 双 交 接 方案 。 


如 果 建 筑 物 的 综合 布线 规模 比较 大 .结构 也 较 复 杂 , 还 可 以 采用 双 点 管理 3 交接 ,甚至 采用 
双 点 管理 4 交接 方式 。 综 合 布线 中 使 用 的 电缆 ,一 般 不 能 超过 4 次 连接 。 

5. 设备 间 子 系统 设计 

设备 间 是 布线 系统 最 主要 的 管理 区 域 .所 有 楼 层 的 信息 都 由 电缆 或 光纤 电缆 传送 至 此 。 
设备 间 子 系统 由 设备 室 的 电缆 、 连 接 器 和 相关 支撑 硬件 组 成 ,通过 电缆 把 各 种 公用 系统 设备 
互 连 起 来 。 它 是 一 个 公用 设备 存放 的 场所 ,也 是 设备 日 常 管理 的 地 方 。 

设备 间 内 的 所 有 进 线 终端 设备 应 采用 色 标 区 别 各 类 用 途 的 配 线 区 。 设 备 间 位 置 及 大 小 
应 根据 设备 的 数量 ,规模 、 最 佳 网 络 中 心 等 内 容 综 合 考虑 确定 。 设 备 间 设 计时 ,最 低 高 度 、 房 
间 大 小 、 照 明 设 施 、 地 板 负重 、 电 气 插座 、 配 电 中 心 ,管道 位 置 . 楼 内 气温 控制 、 门 的 方向 与 位 
置 . 端 接 空间 、 接 地 要 求 、 备 用 电源 ,保护 设施 、 消 防 设施 等 环境 条 件 要 素 必须 符合 国家 规定 
的 标准 。 应 尽量 满足 下 面 的 要 求 : 

。 设备 间 应 设 在 位 于 干线 综合 体 的 中 间 位 置 。 

。 应 可 能 靠近 建筑 物 电缆 引入 区 和 网 络 接口 。 

。 设备 间 应 在 服务 电梯 附近 ,便于 装运 策 重 设备 。 

。 防止 可 能 的 水 害 ( 如 暴雨 、 自 来 水 管 爆裂 等 ) 带 来 的 灾害 。 

。 尽量 远离 有 害 气体 源 ,避免 腐蚀 、 易 燃 、 易 爆 物 和 电磁 场 的 干扰 。 

。 设备 间 空 间 ( 从 地 面 到 天 花 板 ) 应 保持 2. 5 一 3. 2m 高 度 的 无 障碍 空间 , 门 高 过 2. 1m， 

宽 三 90m, 地 板 承重 压力 不 能 低 于 500kg/m? 。 

。 室温 应 保持 在 18 一 27 人 之 间 , 相 对 湿度 保持 在 30%% 一 55% 。 

。 保持 室内 无 尘 或 少 尘 ,通风 良好 。 

。 安装 合适 的 消防 系统 (如 采用 湿 型 消防 系统 ,不 要 把 喷头 直接 对 准 电气 设备 )。 

。 使 用 防火 门 ,至 少 能 耐火 1h 的 防火 墙 和 阻 燃 漆 。 

。 提供 合适 的 门 锁 ,至 少 要 有 一 扇 窗 留 作 安全 出 口 。 

。 根据 结构 化 布线 系统 的 要 求 ,在 配 线 间 安装 布线 硬件 的 墙壁 上 须 覆 盖 涂 有 阻 燃 漆 的 


二 in( 合 1.9cm) 厚 的 木板 。 


。 在 配 线 间 内 应 至 少 留 有 两 个 为 本 系统 专用 的 、 符 合 一 般 办 公 室 照明 要 求 的 220V 电 
压 、10A 单 相 三 极 电源 插座 。 
6. 建筑 样子 系统 设计 
建筑 群 子 系统 也 称 楼 宇 管理 子 系统 。 一 个 企业 或 机 关 可 能 分 散在 几 幢 相 邻 建筑 物 或 不 
相 邻 建筑 物 内 办 公 ,彼此 之 间 的 语音 .数据 .图 像 和 监控 等 系统 可 用 传输 介质 和 各 种 支持 设 
备 连 接 在 一 起 。 连 接 各 建筑 物 之 间 的 传输 介质 和 各 种 支持 设备 组 成 一 个 建筑 群 综合 布线 
1) 设计 要 点 
。 建筑 群 数据 网 主干 线 缆 一 般 应 选用 多 模 或 单 模 室外 光线。 
。 建筑 群 数据 网 主干 线 缆 须 使 用 光缆 与 电信 公用 网 连接 时 ,应 采用 单 模 光 缆 , 芯 数 应 
根据 综合 通信 业务 的 需要 确定 。 
。 建筑 群 主干 线 缆 宜 采用 地 下 管道 方式 进行 敷设 ,设计 时 应 预 留 备用 管 孔 ,以 便 为 扩 
充 使 用 。 
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。 当 采 用 直 埋 方式 时 ,电缆 通常 铺设 在 离 地 面 60. 96cm 以 下 的 地 方 或 按 当地 法 规 。 

2) 建筑 群 子 系统 的 设计 

从 技术 和 方便 施工 的 角度 考虑 ,设计 建筑 群 子 系统 时 需要 考虑 以 下 几 方 面 。 

(1) 确定 电缆 系统 的 一 般 参 数 

这 些 参数 包括 起 止 点 位 置 , 确 认 端 接点 位 置 ,确认 涉及 的 建筑 物 和 每 座 建 筑 物 的 层 数 ， 
确定 每 个 端 接点 所 需 的 双 绞 线 对 数 , 确 定 有 多 个 端 接点 的 每 座 建筑 物 所 需 的 双 绞 线 总 对 数 。 

(2) 确定 建筑 物 的 电缆 入 口 

要 确定 各 个 人 口 管道 的 位 置 ,每 座 建筑 物 有 多 少 人 口 管 道 可 供 使 用 ,入口 管 道 数目 是 否 
满足 系统 的 需要 。 如 果 建 筑 物 尚 未 建立 , 则 要 根据 选 定 的 电缆 路 由 完善 电缆 系统 设计 ,并 标 
出 人 口 管道 的 位 置 。 选 定 入 口 管理 的 规格 ,长度 和 材料 ,在 建筑 物 施工 过 程 中 安装 好 人 口 
管道 。 

(3) 确定 主 电缆 路 由 和 备用 电缆 路 由 

对 于 每 一 种 待定 的 路 由 ,需要 确定 可 能 的 电缆 结构 。 所 有 建筑 物 共用 一 根 电缆 ,对 所 有 
建筑 物 进 行 分 组 ,每 组 单独 分 配 一 根 电缆 ,每 座 建筑 物 单 用 一 根 电缆 , 查 清 在 电缆 路 由 中 哪 
些 地 方 需要 获准 后 才能 通过 ,通过 比较 每 个 路 由 的 优 缺 点 来 选 定 最 佳 路 由 方案 。 

(4) 选择 所 需 电缆 类 型 和 规格 

确定 电缆 长 度 , 画 出 最 终 的 结构 图 , 画 出 所 选 定 路 由 的 位 置 和 挖 沟 详 图 (包括 公用 道路 
图 或 任何 需要 经 审批 才能 动用 的 地 区 草图 ) ,确定 入 口 管 道 的 规格 ,选择 每 种 设计 方案 所 需 
的 专用 电缆 ,参考 AT&T SYSTIMAX PDS 部 件 指南 》 有 关 电 缆 部 分 中 线 号 、 双 绞 线 对 数 
和 长 度 应 符合 的 有 关 要 求 ,应 保证 电缆 可 进入 口 管道 。 如 果 需 用 管道 ,应 选择 其 规格 和 材 
料 ; 如 果 需 用 钢管 ,应 选择 其 规格 .长度 和 类 型 。 此 外 ,还 要 考虑 施工 环境 .施工 成 本 等 因素 。 

3) 建筑 群 子 系统 中 电缆 布线 方法 

(1) 架空 布线 法 

架空 安装 方法 通常 只 用 于 现成 电线 杆 , 而 且 电缆 的 走 法 不 是 主要 考虑 内 容 的 场合 ,从 电 
线 杆 至 建筑 物 的 架空 进 线 距离 不 超过 30m 为 宜 。 建 筑 物 的 电缆 入 口 可 以 是 穿 墙 的 电缆 和 孔 
或 管道 。 入 口 管 道 的 最 小 口径 为 50mm。 建 议 另 设 一 根 同样 口径 的 备用 管道 ,如 果 架 空 线 
的 净空 有 问题 ,可 以 使 用 天 线 杆 型 的 入口 。 该 天 线 的 支架 一 般 不 应 高 于 屋顶 1 200mm。 如 
果 再 高 ,就 应 使 用 拉 绳 固定 。 此 外 ,天 线 型 人口 杆 高 出 屋顶 的 净空 间 应 有 2 400mm ,该 高 度 
正好 使 工人 可 摸 到 电缆 。 

通信 电缆 与 电力 电缆 之 间 的 距离 必须 符合 我 国 室外 架空 线 缆 的 有 关 标 准 。 架 空 电缆 通 
常 穿 人 建筑 物 外 墙 上 的 U 形 钢 保 护 套 , 然 后 向 下 (或 向 上 ) 延 伸 , 从 电缆 孔 进 入 建筑 物 内 部 ， 
电缆 入 口 的 孔径 一 般 为 50mm, 建 筑 物 到 最 近 处 的 电线 杆 通常 相 距 应 小 于 30m。 

(2) 直 埋 布线 法 

直 埋 布线 法 优 于 架空 布线 法 ,影响 选择 此 法 的 主要 因素 有 初始 价格 、 维 护 费 、 服 务 可 靠 
性 、 安 全 性 .外 观 等。 布线 方案 选择 的 原则 是 既 要 适用 ,又 要 经 济 ,还 能 可 靠 地 提供 服务 。 直 
埋 布 线 方 案 中 的 细节 ,如 地 址 的 选取 ,布局 的 设计 等 ,实际 上 都 是 针对 每 项 作业 对 象 专门 设 
计 的 ,是 由 工程 的 可 行 性 决定 的 。 

(3) 管道 系统 布线 法 

管道 系统 的 设计 方法 就 是 把 直 埋 电缆 设计 原则 与 管道 设计 步骤 结合 在 一 起 。 当 考虑 建 


筑 群 管道 系统 时 ,还 要 考虑 接合 井 。 在 建筑 群 管道 系统 中 ,接合 井 的 平均 间距 约 180m, 或 者 
在 主 结合 点 处 设置 接合 井 。 

(4) 隧道 内 布线 法 

在 建筑 物 之 间 通 常 有 地 下 通道 ,大 多 是 供暖 供水 的 ,利用 这 些 通道 来 数 设 电缆 不 仅 成 本 
低 , 而 且 可 利用 原 有 的 安全 设施 。 例 如 ,考虑 到 暖气 泄漏 等 情况 ,电缆 安装 时 应 与 供 气 、 供 
水 供暖 的 管道 保持 一 定 的 距离 ,安装 在 尽 可 能 高 的 地 方 ,可 根据 民用 建筑 设施 的 有 关 条 例 
进行 施工 。 
6.2.3 网 络 工程 施工 技术 


1. 布线 工程 开工 前 的 准备 工作 

网 络 工程 经 过 调研 ,确定 方案 后 ,下 一 步 就 是 工程 的 实施 ,而 工程 实施 的 第 一 步 就 是 开 
前 的 准备 工作 ,要 求 做 到 以 下 几 点 : 

(1) 备 图 : 设计 综合 布线 实际 施工 图 ,确定 布线 的 走向 位 置 , 供 施工 人 员 、 督 导 人 员 和 
主管 人 员 使 用 。 

(2) 备料 : 网 络 工 程 施工 过 程 需 要 许多 施工 材料 ,这 些 材 料 有 的 必须 在 开工 前 就 备 好 
料 , 有 的 可 以 在 开工 过 程 中 备料 。 主 要 有 以 下 几 种 : 

。 光缆 、 双 绞 线 ,插座 ,信息 模块 .服务 器 、 稳 压 电 源 、 集 线 器 等 落实 购 货 厂 商 ,并 确定 提 
货 日 期 。 
不 同 规格 的 塑料 槽 板 `PVC 防火 管 . 蛇 皮 管 . 自 攻 螺 丝 等 布线 用 料 就 位 。 
。 如 果 所 用 设备 是 集中 供电 , 则 准备 好 导线 、 铁 管 和 制订 好 电气 设备 安全 措施 (供电 线 
路 必须 按 民用 建筑 标准 规范 进行 )。 
制定 施工 进度 表 ( 要 留 有 适当 的 余地 ,施工 过 程 中 意 想不到 的 事情 随时 可 能 发 生 ,并 
要 求 立 即 协调 ) 。 

(3) 向 工程 单位 提交 开工 报告 。 

2. 施工 过 程 中 要 注意 的 事项 

(1) 施工 现场 督导 人 员 要 认真 负责 ,及 时 处 理 施 工 进程 中 出 现 的 各 种 情况 ,协调 处 理 各 
方 意见 。 

(2) 如 果 现 场 施工 碰 到 不 可 预见 的 问题 ,应 及 时 向 工程 单位 汇报 ,并 提出 解决 办 法 供 工 
程 单位 当场 研究 解决 ,以 免 影响 工程 进度 。 

(3) 对 工程 单位 计划 不 周 的 问题 ,要 及 时 妥善 解决 。 

(4) 对 工程 单位 新 增加 的 点 要 及 时 在 施工 图 中 反映 出 来 。 

(5) 对 部 分 场地 或 工段 要 及 时 进行 阶段 检查 验收 ,确保 工程 质量 。 

(6) 制订 工程 进度 表 。 在 制订 工程 进度 表 时 ,要 留 有 余地 ,还 要 考虑 其 他 工程 施工 时 可 
能 对 本 工程 带 来 的 影响 ,避免 出 现 不 能 按时 完工 .交工 的 问题 。 因 此 ,建议 使 用 督导 指派 任 
务 表 、 工 作 间 施 工 表 。 

3. 测试 

测试 所 要 做 的 事情 有 工作 间 到 设备 间 连 通 状 况 . 主 干线 连通 状况 ,信息 传输 速率 、 衰 减 
率 、 距 离 接 线 图 、 近 端 串扰 等 因素 。 
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4. 工程 施工 结束 时 注意 事项 

工程 施工 结束 时 的 注意 事项 如 下 : 

。 清理 现场 ,保持 现场 清洁 、 美 观 。 

。 对 墙 洞 .竖井 等 交接 处 要 进行 修补 。 

。 各 种 剩余 材料 汇总 ,并 把 剩余 材料 集中 放置 一 处 ,并 登记 其 还 可 使 用 的 数量 。 

。 做 总 结 材料 。 总 结 材料 主要 有 开工 报告 ,布线 工程 图 .施工 过 程 报告 、 测 试 报告 、 使 

用 报告 .工程 验收 所 需 的 验收 报告 。 

5. 布线 中 的 相关 技术 

线 槽 的 安装 要 垂直 ,无 牌 斜 ,整齐 牢固 。 此 外 , 双 绞 线 压 接 时 要 一 对 一 对 拧 开 , 放 人 与 信 
息 模 块 相 对 的 端口 ,注意 事项 如 下 : 

。 在 双 绞 线 压 处 不 能 拧 , 撕 开 , 并 防止 有 断 线 的 伤痕 。 

。 使 用 压 线 工具 时 ,要 压 实 , 不 能 有 松动 的 地 方 。 

。 双 绞 线 开 绞 不 能 超过 要 求 。 

1) 线 缆 牵引 技术 

。 将 多 条 线 缆 聚 集成 一 束 , 并 使 它们 的 末端 对 齐 。 

。 用 电工 带 或 胶布 紧 绕 在 线 缆 东 外 面 ,在 末端 外 绕 50 一 100mm 长 距离 。 

。 将 拉 绳 穿 过 电工 带 缠 好 的 线 缆 , 并 打 好 结 。 

2) 布线 技术 

布线 包括 建筑 物 间 布 线 和 建筑 物 内 布线 ,建筑 物 内 布线 包括 暗道 布线 天花 板 顶 内 布 
线 . 墙 壁 线 槽 布线 。 布 线 的 要 点 如 下 ， 

(1) 管道 (或 桥架 ) 内 穿 放 电费 时 ,直线 管 路 的 管 径 利 用 率 一 般 为 50% 一 60%; 弯 管 路 
的 管 径 利用 率 一 般 为 40% 一 50%。 

(2) 金属 电线 管 , 金 属 软 管 ,金属 桥架 及 配 线 架 均 需 整体 连接 后 接地 。 弯 管 路 的 中 心 夹 
角 不 应 小 于 90”; 电费 穿 放 中 ,避免 过 紧 地 缠绕 电缆 ,不 要 损坏 线 缆 的 外 皮 , 不 要 切断 缆 内 导 
线 ; 在 牵引 和 捆绑 电缆 时 应 消除 线 缆 中 的 应 力 (垂直 布 放 的 干线 ,必须 每 隔 1. 5m 将 电缆 固 
定 在 梯级 电缆 桥架 上 )。 

(3) 根据 配 线 间 内 需要 放置 网 络 设 备 的 供电 要 求 , 在 配备 IDF 的 配 线 间 内 必须 配置 
2 个 以 上 220V 电源 插座 ,在 条 件 允 许 时 ,可 配备 UPS 不 间断 电源 。 

(4) 施工 人 员 必 须 遵照 电缆 色 码 接续 ,穿线 时 每 根 电缆 都 必须 在 两 头 做 出 相同 的 标记 ， 
并 与 施工 图 吻合 。 电 源 线 与 PDS 管线 尽量 减少 交叉 ,两 管 交叉 时 应 相距 5cm 以 上 ,两 管 并 
行 时 应 相距 15cm 以 上 。 

(5) 配 线 架 的 安装 位 置 和 所 占 墙 面 空间 须 按 设计 图 纸 要 求 而 定 。 建 议 在 配 线 架 的 安装 
墙 面 上 先 固定 一 块 2cm 厚 涂 有 防火 漆 的 木板 ,以 便 安装 。 应 注意 光纤 布线 的 传输 质量 和 光 
纤 ST 连接 头 的 制作 质量 。 因 此 ,在 光纤 布 放 须 弯曲 时 不 能 超过 最 小 弯曲 半径 : 安装 时 为 光 
纤 直 径 的 20 倍 ; 安装 后 为 光纤 直径 的 10 倍 。 数 设 光 纤 牵 引力 不 能 超过 最 大 敷设 张力 。 


6.2.4 网 络 工程 的 验收 


在 进行 网 络 工程 验收 之 前 ,应 做 好 前 期 准备 ,例如 要 确保 综合 布线 (光缆 和 双 绞 线 ) 通 过 
了 认证 测试 (测试 报告 ) ,确保 布线 进行 了 标识 ,确保 设备 的 连接 跳 线 合格 (或 经 过 了 测试 )， 


同时 ,不 要 忽视 各 种 跳 线 。 网 络 验收 的 前 期 准备 工作 具体 如 下 : 
。 所 有 网 络 关键 设备 及 其 应 用 软件 必须 全 部 连通 运行 。 
。 避免 一 些 备 份 设备 日 后 开通 对 网 络 的 影响 。 
。 网 络 的 站 点 应 该 尽 可 能 地 全 部 上 网 。 
。 确保 各 个 站 点 对 网 络 的 影响 ( 通 断 、 性 能 等 )。 
。 尽 可 能 将 所 有 主机 连接 上 网 ,测试 网 络 实际 承载 能 力 。 
。 准备 网 络 设计 的 图 纸 。 


。 确 认 实 际 网 络 和 设计 的 对 比 。 


验收 的 内 容 包 括 网 络 拓 扑 图 、 网 络 规划 信息 、 网 络 设 备 信息 备案 、 正 常 运行 时 网 络 重点 
端口 的 流量 (网 络 基 准 测试 ) 路 由 器 或 交换 机 端口 流量 趋势 图 、 流 量 趋 势 备 案 、 正 常 运行 时 
网 络 协议 和 繁忙 用 户 的 分 布 统计 、 网 络 的 吞吐 能 力 或 加 载 测试 (路 由 和 交换 能 力 ) 等 内 容 , 详 
细 项 目 和 内 容 如 表 6-1 所 示 。 


表 6-1 综合 布线 系统 系统 工程 验收 项 目 及 内 容 


施工 前 检查 


设备 安装 


验收 项 目 


环境 要 求 


器 材 检 验 


验收 内 容 


(1) 土建 施工 : 地 面 、 墙 面 . 门 .电源 


插座 及 接地 装置 
(2) 土建 工艺 : 机 房 面积 、 预 留 孔洞 
(3) 施工 电源 
(4) 活动 地 板 敷 设 
(1) 外 观 检查 
(2) 规格 .品种 .数量 
(3) 电费 电气 性 能 抽样 测试 
(4) 光纤 特性 测试 


验收 方式 


施工 前 检查 


施工 前 检查 


安全 、 防 火 要 求 


设备 机 架 


(1) 消防 器 材 

(2) 危险 物 的 堆放 

(3) 预 留 孔洞 防火 措施 

(1) 规格 .程式 .外 观 

(2) 安装 垂直 水平 度 

(3) 油漆 不 得 脱落 ,标志 完整 齐全 
(4) 各 种 螺钉 必须 紧 固 

(5) 防震 加 固 措施 

(6) 接地 措施 


施工 前 检查 


随 工 检验 


信息 插座 


(1) 规格 ,位 置 、 质 量 
(2) 各 种 螺钉 必须 拧紧 
(3) 标志 齐全 

(4) 安装 符合 工艺 要 求 
(5) 屏蔽 层 可 靠 连接 


随 工 检验 


楼 内 电 、 光 缆 布 放 


电缆 桥架 及 槽 道 
安装 


(1) 安装 位 置 正确 
(2) 安装 符合 工艺 要 求 
(3) 接地 


缆 线 布 放 


(1) 费 线 规格 路由、 位置 
(2) 符合 布线 缆 线 工艺 要 求 
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阶 段 验收 项 目 验收 内 容 验收 方式 
(1) 吊 线 规格 .架设 位 置 . 装 设 规格 
(2) 吊 线 垂 度 
架空 缆 线 (3) 费 线 规格 随 工 检验 
(4) 卡 . 挂 间隔 
(5) 缆 线 的 引入 符合 工艺 要 求 
(1) 使 用 管 孔 孔 位 
(2) 费 线 规格 i 
管道 缆 线 (3) 纳 线 走向 隐蔽 工程 签证 
(4) 缆 线 的 防护 设施 的 设置 质量 
楼 间 电 、 光 缆 布 放 CD 及 线 规格 
(2) 数 设 位 置 、 深 度 
人 (3) 缆 线 的 防护 设施 的 设置 质量 加 区 于 各 入 让 
(4) 回 土 夯实 质量 
(1) 费 线 规格 
隧道 缆 线 (2) 安装 位 置 .路 由 隐蔽 工程 签证 
(3) 土建 设计 符合 工艺 要 求 
(1) 通信 线路 与 其 他 设施 的 间距 
工程 签 
其 他 (2) 进 线 室 安装 施工 质量 和 
信息 插座 符合 工艺 要 求 随 工 检验 
和合 工艺 要 求 -检验 
线 织 终 端 这 于 符 随 工 检验 
光纤 插座 符合 工艺 要 求 随 工 检验 
各 类 跳 线 符合 工艺 要 求 随 工 检验 
(1) 连接 图 
ee (2) 长 度 
2 电气 性 能 | (3) 衰减 竣工 检验 
(4) 近 端 串扰 
系统 测试 (5) 设计 中 特殊 规定 的 测试 内 容 
(1) 类 型 ( 单 模 或 多 模 ) 
光纤 特性 测试 (2) 衰减 竣工 检验 
(3) 反射 
系统 接地 秆 合 设计 要 求 竣工 检验 
工程 总 验收 竣工 技术 文件 清点 ,交接 技术 文件 竣工 检验 
ER 工程 验收 评价 考核 工作 质量 ,确认 验收 结果 竣工 检验 
6.3 ”数据 库 管理 


数据 库 管 理 是 有 关 建 立 、 存 储 、 修 改 和 存 取 数据 库 中 信息 的 技术 ,是 为 保证 数据 库 系 统 
的 正常 运行 和 服务 质量 ,有 关 人 员 须 进行 的 技术 管理 工作 。 数 据 库 管理 的 主要 内 容 有 数据 
库 的 建立 、 调 整 重 组 、 重 构 、 安 全 控制 ,数据 的 完整 性 控制 和 对 用 户 提供 技术 支持 。 本 节 主 
要 以 SQL Server 数据 库 安全 为 主 介绍 数据 库 的 管理 操作 ,其 他 内 容 的 基本 管理 请 参考 相关 


文献 。 


6.3.1 SQL Server 系统 安全 管理 


数据 的 安全 性 管理 是 数据 库 管 理 系统 应 实现 的 重要 功能 之 一 。SQL Server 数据 库 采 
用 了 对 用 户 登 录 进 行 身份 认证 和 对 用 户 进 行 的 操作 进行 权限 控制 两 种 安全 管理 机 制 。 用 户 
要 对 某 一 数据 库 进行 操作 ,必须 满足 以 下 3 个 条 件 : 

。 登录 SQL Server 服务 器 时 必须 通过 身份 验证 。 

。 必须 是 该 数据 库 的 用 户 ,或 者 是 某 一 数据 库 角 色 的 成 员 。 

。 必须 有 执行 该 操作 的 权限 。 

1. 用 户 账户 管理 

1) Windows 身份 验证 登录 账号 的 建立 

该 模式 可 以 通过 调用 存储 过 程 和 企业 管理 器 建立 Windows NT 认证 模式 的 登录 账号 ， 
以 企业 管理 器 为 例 : 

(1) 创建 Windows Server 2003 的 用 户 : 以 管理 员 身 份 登录 到 Windows Server 2003， 
选择 “开始 ”>“ 所 有 程序 >“ 管理 工具 ”>“ 计 算 机 管理 ”命令 ,在 弹出 的 对 话 框 中 选择 “本 地 
用 户 和 组 ”。 继 续 右 击 “ 用 户 ” 图 标 , 在 快捷 菜单 中 选择 菜单 项 “新 用 户 ”, 然 后 按 提示 输入 用 
户 名 、 密 码 , 单 击 “ 创 建 "按钮 ,然后 单 击 " 关 闭 "按钮 。 

(2) 将 Windows 网 络 账 号 加 入 到 SQL Server 中 : 以 管理 员 身 份 登录 到 SQL Server， 
进入 企业 管理 器 , 右 击 “登录 ”图 标 ,在 出 现 的 快捷 菜单 中 选择 “新 建 登录 ” ,出现 如 图 6-17 所 
示 的 对 话 框 , 单 击 “ 常 规 ” 选 项 卡 的 “浏览 ”按钮 ,可 选择 用 户 名 或 用 户 组 添加 到 SQL Server 
登录 用 户 列 表 中 。 

因 


常规 | 服务 器 角色 | 数据 库 访问 | 


局) am Pa | 


个 SQL Server 身 份 验证 (5] 

容 码 区 
默认 设置 
指定 此 登录 的 默认 语言 和 数据 库 。 


wel ee 
图 6-17 Windows 身份 验证 模式 账号 的 建立 


2) 混合 认证 模式 下 SQL Server 登录 账号 的 建立 
(1) 在 企业 管理 器 中 ,选择 要 登录 的 SQL Server 服务 器 图 标 并 右 击 ,在 出 现 的 快捷 菜 


第 
6 
单 中 选择 菜单 项 “属性 ”。 章 
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(2) 在 弹出 的 SQL Server 服务 器 属性 配置 对 话 框 中 ,选择 “安全 性 ?选项 卡 ,选择 身份 
验证 方式 为 “SQL Server 与 Windows”, 然 后 单 击 “ 确 定 ” 按 钮 。 

(3) 在 企业 管理 器 中 选择 “登录 ”图 标 并 右 击 ,在 快捷 菜单 中 选择 “新 建 登录 ”命令 。 

(4) 在 弹出 的 如 图 6-18 所 示 的 对 话 框 中 选择 “SQL Server 身份 验证 ”方式 ,然后 输入 名 
称 、 密 码 , 单 击 “ 确 定 ” 按 钮 。 

2. 服务 器 角色 与 数据 库 角 色 

在 SQL Server 中 ,通过 角色 可 将 用 户 分 为 不 同 的 类 ,对 相同 类 用 户 ( 相 同 角色 的 成 员 ) 
进行 统一 管理 ,赋予 相同 的 操作 权限 ,SQL Server 给 用 户 提供 了 预定 义 的 服务 器 角色 (固定 
服务 器 角色 ) 和 数据 库 角色 (固定 数据 库 角 色 ) ,固定 服务 器 角色 和 固定 数据 库 角 色 都 是 
SQL Server 内 置 的 ,不 能 进行 添加 、 修 改 和 删除 。 用 户 可 根据 需要 ,创建 自己 的 数据 库 
角色 。 

1) 固定 服务 器 角色 的 管理 

服务 器 角色 独立 于 各 个 数据 库 , 如 果 在 SQL Server 中 创建 一 个 登录 账号 后 ,要 赋予 该 
登录 者 具有 管理 服务 器 的 权限 ,此 时 可 设置 该 登录 账号 为 服务 器 角色 的 成 员 。 

(1) 以 系统 管理 员 身 份 登录 到 SQL Server 服务 器 ,在 登录 图 标 对 应 的 列表 框 中 ,选择 
登录 账号 (本 例 为 "JACK48\cgs”) 的 项 目 双击 。 

(2) 选择 “服务 器 角色 ?选项 卡 ,选项 卡 中 列 出 了 SQL Server 所 有 的 固定 服务 器 角色 ， 
将 “System Administrators” 服 务 器 角色 前 的 复 选 框 选中 ,然后 单 击 “ 确 定 ” 按 钮 即 可 完成 固 
定 服务 器 角色 的 设置 ,如 图 6-19 所 示 。 


划 x 
常规 。 | 服务 器 角色 | 数据 库 访问 | 第 规 。 服务 器 角色 | 数据 库 访问 | 
Ea SW rm | 服务 器 角色 


个 服务 器 角色 用 于 对 登录 授予 服务 器 范围 内 的 安全 特权 [5)。 


身份 验证 
个 Windows 身 份 验证 [Ww] 
域 叮 书 


System Administrators 
WD Security Administrators 


安全 性 访问 DW Server Administrators 
GIG 下 ee 四 
全 拒绝 访问 的 et 


DW Disk Administrators 
DD Database Creators z+ 
人 SQL Server 身 份 验证 [S] 


[| 描述 加) 
默认 设置 Sa SQL Server 安装 中 的 任何 操作 。 
_ 指定 此 登录 的 默认 语言 和 数据 库 。 
数据 库 [D} [seok 司 属性 [E] 
语言 此 < 典 认 > 了 
Ce |] Ww | 矶 | CE |] ws | Ww | 
图 6-18 ”SQL Server 身份 验证 模式 账号 的 建立 图 6-19 SQL Server* 服 务 器 角色 ”选项 卡 


2) 固定 数据 库 角色 的 管理 
固定 数据 库 角色 定义 在 数据 库 级 别 上 .并且 有 权 进 行 特定 数据 库 的 管理 及 操作 ,SQL 
Server 提供 了 以 下 固定 数据 库 角 色 : 

。 db_owner: 数据 库 所 有 者 ,可 执行 数据 库 的 所 有 管理 操作 。 


。 db_accessadmin: 数据 库 访 问 权 限 管理 者 .具有 添加 和 删除 数据 库 使 用 者 数据库 角 
色 和 组 的 权限 。 
。 db_securityadmin: 数据 库 安全 管理 员 ,可 管理 数据 库 中 的 权限 ,如 设置 数据 库 表 的 
插入 删除、 修改 和 查询 等 存 取 权限 。 
。 db_ddladmin: 数据 库 DDL 管理 员 , 可 增加 、 修 改 或 删除 数据 库 中 的 对 象 。 
。 db_backupoperator: 数据 库 备 份 操作 员 ,具有 执行 数据 库 备 份 的 权限 。 
。 db_datareader: 数据 库 数据 读 取 者 。 
。 db_datawriter: 数据 库 数 据 写 人 者 ,具有 对 表 进 行 插入 、 删 除 和 修改 的 权限 。 
。 db_denydatareader: 数据 库 拒绝 数据 读 取 者 ,不 能 读 取 数据 库 中 任何 表 的 内 容 。 
。 db_denydatawriter: 数据 库 拒 绝 数据 写 人 者 ,不 能 对 任何 表 进 行 插入 ,删除 和 修改 操作 。 
。 public: 是 一 个 特殊 的 数据 库 角 色 ,每 个 数据 库 用 户 都 是 public 角色 的 成 员 , 因 此 ， 
不 能 将 用 户 .组 或 角色 指派 为 public 角色 的 成 员 , 也 不 能 删除 public 角色 的 成 员 。 
3) 用 户 自 定义 数据 库 角色 
(1) 创建 数据 库 角色 : 以 系统 管理 员 身 份 登录 SQL Server, 并 进入 企业 管理 器 ,选中 目 
录 树 数据 库 ( 本 例 为 XSBOOK) 结 点 的 “角色 ?图标 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 “新 建 
数据 库 角 色 ”, 进 入 如 图 6-20 所 示 的 对 话 框 , 输 入 角色 名 , 单 击 “确定 ”按钮 。 
(2) 创建 数据 库 用 户 并 加 入 数据 库 角 色 : 即 在 某 一 数据 库 中 为 SQL Server 服务 器 的 登 
录 账 号 或 Windows NT 的 登录 账号 创建 一 数据 库 用 户 账号 ,将 数据 库 用 户 加 入 该 数据 库 中 
的 某 一 角色 ,即使 数据 库 用 户 成 为 某 一 角色 的 成 员 。 
在 企业 管理 器 目录 树 中 ,选择 XSBOOK 数据 库 下 的 用户” 图 标 并 右 击 ,在 出 现 的 快捷 
菜单 中 选择 “新 建 数据 库 用 户 ”, 进 入 如 图 6-21 所 示 的 对 话 框 ,选择 登录 名 ,选中 该 用 户 所 加 


入 的 数据 库 角色 ,然后 单 击 * 确 定 ? 按 钮 可 将 cgs 创建 为 数据 库 XSBOOK 的 用 户 , 并 添加 到 
数据 库 admin_role 角色 中 。 
划 
mm | 划 
可 | 
下 i 加 于 录 SUL} CK48Ncg 玫 限 四) 
dminrole EE I -+ | 
Sa we Ee 
SQL Server 支 持 两 种 数据 库 角色 类 型 标准 角色 包 合 成 员 ) 和 应 用 
程序 角色 ( 需要 密码 ) 。 数据 库 角 色 成 员 [D 
个 标 稚 第 色 (6] 1 pabic 
用 db_owner 
db_accessadmin 
口 db_securityadmin 
口 db_ddadmn 
口 db_backupoperator 
口 db_datareader 
添加 [D}. 删除 [但] 
个 应 用 程序 角色 IC Dob_derydatawiter 到 
窑 克 WI T 属性 B) 
Ce] we | ww | Ca ww | ww | 
图 6-20 “数据 库 角色 属性 ”对 话 框 图 6-21 “数据 库 用 户 属性 "对话 框 


日 党 运 锥 与 党 
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(3) 给 数据 库 角色 赋予 创建 数据 库 对 象 的 权限 : 在 企业 管理 器 目录 树 中 ,选择 
XSBOOK 数据 库 节 点 右 击 , 在 快捷 菜单 中 选择 “属性 ”命令 ,进入 如 图 6-22 所 示 的 对 话 框 ， 
选择 “权限 ”选项 卡 , 选 中 允许 数据 库 角 色 或 数据 库 用 户 执行 的 权限 。 


sbooc EE 


常规 “| 数据 文件 | 事务 日 志 | 文件 组 | 选项 。 权限 | 


取消 “| 帮助 
图 6-22 “权限 ”选项 卡 
(4) 给 数据 库 角色 赋予 表 操 作 权限 : 在 企业 管理 器 的 目录 树 中 ,双击 XSBOOK 数据 库 
节点 下 角色 图 标的 项 目 “admin_role”, 弹 出 如 图 6-23 所 示 的 对 话 框 。 
对 


[2g i 国王 


5QL Server 支持 两 种 数据 库 角色 关 型 : 标 稚 角色 ( 包 合成 员 ) 和 应 用 
程序 角色 ( 需要 密码 ) 。 


数据 库 角色 类 型 ， 
全 标 稚 角色 [5] 


应 加 上 ) | Leas | 
全 应 用 程 夺 第 色 回 


完 码 WJ 


确定 取消 | EH | 帮助 
图 6-23 “数据 库 角色 属性 ”对 话 框 


(5) 单 击 “权限 ?按钮 ,根据 允许 的 操作 可 设置 相应 的 权限 ,如 图 6-24 所 示 。 单 击 “ 列 ” 
按钮 可 以 继续 设置 列 操作 权限 。 


数据 库 角色 旦 性 一 xsbook 过 | 


加 象 ”所 有 者 SELECT [INSERT [UPDATE DELETE [EXEC [DRI [<] 


加 dadduserobiect dbo 
加 由 adduserob dbo 
团 dcheckinobiect dbo 
轩 dchecknob dbo 
团 dcheckout. dbo 


Cm |] ws | smw | Ww | 


图 6-24 “权限 * 选 项 卡 
6.3.2 数据 库 备份 和 还 原 管理 


数据 库 备 份 /恢复 可 以 使 用 备份 /恢复 命令 ,使 用 企业 管理 器 和 使 用 向 导 等 多 种 方法 ,以 
企业 管理 器 为 例 方法 为 : 
1. 备份 数据 库 


(1) 打开 SQL Server 企业 管理 器 ,展开 SQL Server 组 Local 下 的 数据 库 , 右 击 要 备份 
的 数据 库 , 在 弹出 的 快捷 菜单 中 选择 “所 有 任务 "下 的 “备份 数据 库 ” 命 令 。 
(2) 在 弹出 的 “备份 数据 库 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,填写 备份 文件 的 路 径 和 文件 
名 , 单 击 “ 确 定 ” 按 钮 添加 备份 文件 , 单 击 “ 备 份 ”对 话 框 上 的 “备份 按钮 , 即 可 开始 进行 备份 。 
2. 还 原 数 据 库 
(1) 打开 “SQL Server” 的 企业 管理 器 ,打开 数据 库 , 右 击 “ 数 据 库 ”, 打 开 “ 所 有 任务 "里 
面 “ 还 原 数 据 库 ?命令 ,如 图 6-25 所 示 。 
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生字 | 后 困 | 六 车 国 图 | 国 | 米 | 次 有 凤 卓 草包 
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6-25 ”选择 “还 原 数据 库 ” 命 令 
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(2) 在 如 图 6-26 所 示 的 对 话 框 中 ,命名 自己 要 还 原 的 数据 库 名 字 , 单 击 “ 从 设备 ” 单 选 
按钮 ,然后 单 击 “ 选 择 设 备 " 按 钮 。 
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图 6-26 “还 原 数 据 库 "对话 框 


(3) 在 弹出 的 对 话 框 中 单 击 “ 添 加 "按钮 ,找到 备份 文件 夹 的 路 径 , 选 择 需 要 还 原 的 备份 
数据 库 , 如 图 6-27 所 示 。 


ul 
[起 在 还 原 了 该 备份 后 ，SQL Servel 格 试 着 从 下 面 所 列 设备 中 还 原 。 
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C:\Program Files\Mictosoft SQL Serve\MS. 
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媒体 名 称 人 NJ; 
确定 取消 


图 6-27 “选择 还 原 设备 ”对 话 框 
(4) 从 设备 选择 好 备份 文件 后 , 单 击 “ 确 定 ” 按 钮 进行 数据 库 还 原 。 
6.3.3 数据 库 维护 计划 


(1) 打开 企业 管理 器 后 ,选择 “管理 ”>“ 数 据 库 维 护 计划 ”, 然 后 右 击 , 从 快捷 菜单 中 选 
择 “ 新 建 维护 计划 ”命令 ,如 图 6-28 所 示 。 
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图 6-28 选择 * 新 建 维护 计划 ”命令 
(2) 根据 向 导 提 示 ,在 弹出 的 对 话 框 中 选择 需要 备份 的 数据 库 , 只 需要 勾 选 要 备份 的 数 
据 库 即 可 。 
(3) 数据 优化 信息 设置 : 数据 库存 在 预 留 空间 ,使 用 此 设置 在 备份 时 可 以 将 预 留 的 空 
间 删 除 ,避免 空间 浪费 ; 执行 此 操作 的 时 间 可 以 在 “调度 ”列表 框 里 更 改 ,如 图 6-29 所 示 。 
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图 6-29 “更 新 数据 优化 信息 ”对 话 框 


(4) 数据 库 完整 性 检查 设置 : 此 设置 是 防止 软 硬 件 出 问题 导致 备份 出 现 差异 而 进行 检 
查 ; 执行 时 间 也 是 在 “调度 ”列表 框 里 设置 ,如 图 6-30 所 示 。 

(5) 设置 数据 库存 放 方 式 、 备 份 时 间 (调度 设置 备份 周期 ), 如 图 6-31 所 示 。 

(6) 选择 数据 库 备份 存放 的 路 径 以 及 自动 删除 早期 备份 文件 .删除 周期 ,如 图 6-32 
所 示 。 
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图 6-32 “指定 备份 磁盘 目录 ”对 话 框 


(7) 报表 ,历史 记录 均 可 以 不 用 设置 ,如 有 需要 用 户 可 以 自行 设置 ; 填写 备份 计划 名 
称 , 单 击 “ 完 成 ”按钮 ,完成 备份 计划 。 


6.3.4 代理 服务 


在 SQL Server 数据 库 管 理 中 ,可 以 通过 SQL Server 代理 服务 来 自动 执行 周期 性 的 工 
作 。SQL Server 代理 服务 能 够 自动 执行 管理 员 安排 的 每 天 必须 进行 的 固定 不 变 的 任务 ,还 
可 以 在 服务 器 发 生 异 常事 件 的 时 候 , 自 动 发 出 通知 ,以 便 让 操作 人 员 及 时 获得 信息 ,并 作出 
处 理 。 如 上 一 节 中 创建 的 “数据 库 维护 计划 ”, 就 需要 启动 SQL Server 代理 才能 执行 。 

SQL Server 代理 服务 由 作业 、 操 作 员 和 警报 3 个 部 分 组 成 。 

1. 作业 

作业 是 可 以 由 SQL Server 代理 调度 执行 一 次 或 多 次 的 管理 任务 ,SQL Server 代理 可 以 监 
视 作 业 在 执行 时 是 成 功 还 是 失败 。 作 业 既 可 以 在 本 地 服务 器 上 执行 ,也 可 以 在 远程 服务 器 上 
执行 。 管 理 员 可 以 为 作业 安排 执行 的 时 间 表 ,代理 将 按照 这 一 时 间 表 自动 调度 作业 的 执行 。 

一 个 作业 是 由 一 个 或 多 个 作业 步骤 组 成 的 ,作业 步骤 既 可 以 是 可 执行 程序 ,也 可 以 是 
Windows Server 2003 命令 .T-SQL 语句 、ActiveX 脚本 或 复制 代理 等 。 作 业 要 在 多 台 服 务 
器 上 执行 ,需要 设置 主 服务 器 和 目标 服务 器 。 定 义 作业 需要 指定 以 下 属性 : 名 称 、 类 别 、 拥 
有 者 .描述 .作业 步骤 .调度 时 间 表 、 完 成 通知 等 。 创 建 作业 的 过 程 如 下 。 

(1) 在 企业 管理 器 中 展开 “管理 ”>“SQL Server 代理 ”->“* 作 业 ”, 然 后 右 击 “作业 ”, 在 
弹出 的 快捷 菜单 中 选择 “新 建 作 业 ” 命 令 。 

(2) 在 “常规 ”选项 卡 中 输入 作业 名 ,在 “步骤 ”选项 卡 中 单 击 “ 新 建 "按钮 ,在 “新 建 作业 
步骤 ”对话 框 中 输入 步骤 名 、 类 型 .数据库 和 命令 ,如 图 6-33 所 示 。 

(3) 单 击 * 确 定 ” 按 钮 完成 步骤 的 定义 “调度 "” 和 "通知 ? 根 据 实 际 情况 进行 设置 即 可 。 
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图 6-33 “新 建 作业 步骤 ?对 话 框 


2. 操作 员 
操作 员 是 负责 维护 SQL Server 服务 器 运行 的 个 人 。 当 SQL Server 出 现 异 常 时 ,需要 
通知 操作 员 。 操 作 员 可 以 通过 电子 邮件 ,第 三 方 的 呼叫 软件 、Net send 命令 等 方式 获得 通知 。 


日 党 运 纵 与 党 
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3. 警报 

警报 定义 了 当 在 SQL Server 中 特定 的 事件 发 生 时 ,SQL Server 应 该 做 出 的 反应 。 警 
报 可 以 通过 通知 操作 员 ,将 事件 转发 到 其 他 服务 器 ,执行 一 个 作业 方式 响应 SQL Server 事 
件 。 创 建 警报 的 对 话 框 如 图 6-34 所 示 。 默 认 情 况 下 ,SQL Server 自动 响应 用 程序 日 志文 
件 中 写 入 的 如 下 事件 : 

。 严重 级 别 大 于 等 于 19 的 事件 。 

。 使 用 带 有 WITH LOG 的 RAISERROR 语句 产生 的 事件 。 

。 由 xp_logevent 存储 过 程 记录 的 应 用 程序 事件 。 

只 有 在 定义 了 警报 后 , 才 可 以 对 操作 员 发 出 通知 。 警 报 的 主要 内 容 包 括 警 报名 称 和 触 
发 警报 的 事件 或 警报 执行 的 服务 器 性 能 条 件 。 
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图 6-34 “新 建 警 报 属性 "对 话 杠 


6.4 资源 管理 


6.4.1 网 络 资 源 管 理 概述 


1. 网 络 资源 

网 络 资源 包括 物理 资源 和 逻辑 资源 。 管 线 网 ,电缆 网 .光缆 网 ,机房 等 基础 设施 是 物理 
资源 ,通过 对 网 络 的 调度 和 配置 ,形成 了 通道 .电路 等 逻辑 资源 。 网 络 资源 管理 就 是 企业 对 
所 拥有 的 全 部 物理 .逻辑 网 络 以 及 连接 这 些 网 络 的 节点 的 管理 。 

2. 网 络 资源 管理 的 意义 

网 络 资源 是 企业 业务 流程 中 不 可 忽视 的 基础 , 它 是 业务 开通 和 业务 保障 这 两 个 关键 业 
务 流 程 实现 自动 化 的 重要 前 提 。 网 络 资源 管理 可 以 实现 对 全 网 资源 进行 系统 的 统筹 ,保证 
业务 的 配置 被 正确 地 反映 到 网 络 资源 上 。 当 网 络 发 生 故 障 时 ,维护 部 门 可 以 迅速 定位 .排除 
故障 ,同时 对 被 影响 的 业务 与 客户 状况 了 如 指 掌 ,直接 大 幅 提高 服务 质量 。 


3. 网 络 资源 管理 中 存在 的 问题 

。 缺乏 统一 、 规 范 的 网 络 资源 信息 描述 与 存储 ,资源 信息 没有 完整 统一 的 定义 。 

。 网 络 资源 信息 分 散 , 各 个 部 门 对 网 络 资源 的 管理 范围 界定 不 清 。 

。 对 网 络 资源 使 用 状况 缺乏 有 效 的 监控 、 校 核 机 制 和 统一 的 调度 流程 控制 。 

所 以 ,建立 集中 统一 的 网 络 资源 管理 平台 已 经 成 为 企业 网 络 资源 管理 最 迫切 的 基础 建设 
任务 。 

4. 网 络 资源 管理 系统 

网 络 资源 管理 系统 是 整个 网 络 资源 统一 管理 的 平台 ,主要 功能 是 实现 整个 网 络 资 源 的 

统一 管理 ,统一 维护 ,统一 调度 。 采 用 网 络 资源 管理 系统 能 够 帮助 企业 提高 经 济 效益 。 目 前 
的 网 络 资源 管理 系统 主要 集中 在 电信 部 门 ,主要 产品 有 ZSmart ResMaster、BOCO_ 
NetPilot v3. x、NetTracker 等 。 网 络 资源 管理 系统 主要 包括 4 大 功能 模块 ， 

。 网络 资源 管理 模块 一 一 动态 管理 网 络 中 各 种 物理 资源 (局 站 、 机 房 、 设 备 、 管 道 、 
DDF .ODF 等 ) 和 逻辑 资源 (PDH .SDH .DWDM 电路 等 ) ,并 结合 GIS 对 资源 对 象 
进行 定位 。 

。 资源 调度 管理 模块 一 一 规范 资源 调度 全 流程 ,实现 对 电路 等 网 络 资源 闭环 调度 管理 
功能 ,并 能 通过 Web 方式 申请 调度 资源 。 

。 资源 预测 分 析 模块 一 一 系统 能 对 各 种 网 络 资源 进行 预测 分 析 ,预测 分 析 结 果 可 通 
过 客户 端 或 者 Web 方式 展示 ,也 可 以 各 种 形式 输出 ,并 可 按 用 户 需 求 定制 各 种 

。 系统 自身 管理 模块 一 一 包括 安全 管理 日志 管理 ,数据 备份 与 恢复 和 基础 数据 配置 
功能 。 


6.4.2 物理 资源 管理 


企业 中 常用 的 物理 资源 包括 网 卡 、 交 换 机 、 集 线 器 .路 由 器 防火墙 `.UPS 测试 设备 、 存 
储 设备 、VPN 设备 .打印 服务 器 .光纤 设备 等 。 由 于 大 部 分 内 容 在 前 面 的 章节 中 已 经 介绍 或 
基本 熟悉 ,所 以 就 不 装 述 了 。 本 节 主 要 介绍 Windows Server 2003 基本 存储 资源 的 管理 , 包 
括 磁盘 分 区 和 卷 的 管理 .磁盘 配额 和 磁盘 的 日 常 维护 管理 等 内 容 。 

1. 基本 磁盘 与 动态 磁盘 

无 论 是 操作 系统 还 是 数据 都 存储 在 容量 固定 且 非 常 脆弱 的 磁盘 上 。 因 此 ,能 和 否 合理 地 
分 配 磁盘 空间 ,能 否 监控 磁盘 正常 运转 ,能 否 确保 数据 不 会 丢失 ,就 显得 非常 重要 。 这 不 
仅 关 系 到 操作 系统 能 否 稳定 运行 ,而 且 关 系 到 比 那些 硬件 设备 更 为 宝贵 的 数据 资源 是 否 
安全 

Windows Server 2003 将 磁盘 存储 类 型 分 为 基本 磁盘 和 动态 磁盘 两 种 。 一 个 硬盘 既 可 
以 是 基本 的 ,也 可 以 是 动态 的 ,但 不 能 既是 基本 的 又 是 动态 的 ,在 同一 个 磁盘 上 不 能 组 合 多 
种 存储 类 型 。 在 基本 磁盘 上 ,使 用 分 区 来 分 割 磁盘 ; 在 动态 磁盘 上 ,将 存储 分 为 卷 而 不 是 
分 区 


在 Windows Server 2003 中 ,硬盘 自动 初始 化 为 基本 磁盘 。 基 本 磁盘 的 管理 包括 创建 
主要 磁盘 分 区 ,创建 扩展 磁盘 分 区 ,磁盘 分 区 的 格式 化 ,加 卷 标 ,转换 文件 系统 ,删除 .更 改 驱 
动 器 号 等 。 动 态 磁盘 的 管理 是 基于 卷 的 管理 , 卷 是 一 个 或 多 个 磁盘 上 的 可 用 空间 组 成 的 存 
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储 单元 ,可 以 将 它 格式 化 为 一 种 文件 系统 并 分 配 驱 动 器 号 。 动 态 磁盘 上 的 卷 可 以 具有 下 列 
任意 一 种 布局 方式 : 简单 卷 . 跨 区 卷 . 带 区 卷 .镜像 卷 或 RAID-5 卷 ,它们 提供 容错 、 提 高 磁 
盘 利 用 率 和 访问 效率 的 功能 。 

2. 卷 的 管理 

1) 简单 卷 

简单 卷 由 单个 物理 磁盘 上 的 磁盘 空间 组 成 , 它 可 以 由 磁盘 上 的 单个 区 域 或 者 由 多 个 连 
续 的 区 域 组 成 。 创 建 简单 卷 的 具体 操作 步骤 如 下 : 

(1) 在 “磁盘 管理 ”中 , 右 击 一 块 未 指派 空间 的 物理 磁盘 ,从 快捷 菜单 中 选择 “新 建 卷 ” 
命令 。 
(2) 在 “选择 卷 类 型 "对 话 框 中 ,选择 “简单 ” 单 选 按钮 ,然后 单 击 下 一 步 ”按钮 。 

(3) 在 “选择 磁盘 ”对 话 框 中 ,设置 简单 卷 的 大 小 。 

(4) 在 “指派 驱动 器 号 和 路 径 " 对 话 框 中 ,为 该 简单 卷 指派 一 个 驱动 器 名 。 

(5) 单 击 “ 完 成 "按钮 ,系统 将 对 该 卷 格式 化 ,完成 简单 卷 的 建立 。 

2) 跨 区 卷 

跨 区 卷 由 多 个 磁盘 上 的 可 用 空间 组 成 ,也 就 是 将 多 个 物理 磁盘 的 未 指派 空间 合并 为 一 
个 逻辑 盘 , 用 一 个 逻辑 驱动 器 表示 。 跨 区 卷 的 创建 步骤 如 下 : 

(1) 在 “磁盘 管理 ”中 , 右 击 一 块 未 指派 空间 ,从 快捷 菜单 中 选择 “新 建 卷 ”命令 。 

(2) 在 “选择 卷 类 型 "对 话 框 中 ,选择 “ 跨 区 " 单 选 按钮 , 单 击 “ 下 一 步 "按钮 。 

(3) 在 “选择 磁盘 ”对 话 框 中 ,从 磁盘 1.2 分 别 选择 可 用 的 容量 ,然后 , 单 击 “ 下 一 步 ” 
按钮 。 

(4) 在 "指派 驱动 器 号 和 路 径 ” 对 话 框 中 ,为 该 跨 区 卷 指派 一 个 驱动 器 名 。 

(5) 在 弹出 的 “ 卷 区 格式 化 窗口 ?对 话 框 中 ,选择 格式 化 参数 ,然后 单 击 * 下 一 步 按 钮 。 

(6) 单 击 “ 完 成 "按钮 , 即 可 完成 跨 区 卷 的 建立 。 

3) 带 区 卷 

带 区 卷 是 由 2 个 或 多 个 磁盘 (最 多 32 块 磁盘 ) 中 的 空余 空间 组 成 的 卷 , 在 向 带 区 卷 中 写 
入 数据 时 ,数据 被 分 割 成 64KB 的 数据 块 ,然后 同时 向 阵列 中 的 每 一 块 磁盘 写 入 不 同 的 数据 
块 。 这 个 过 程 显著 提高 了 磁盘 效率 和 性 能 ,但 是 , 带 区 卷 不 提供 容错 性 。 创 建 带 区 卷 的 方法 
如 下 : 

(1) 在 “磁盘 管理 ”中 , 右 击 未 分 配 的 空间 ,从 快捷 菜单 中 选择 “创建 卷 ”命令 。 

(2) 在 “新 建 卷 向 导 ” 中 , 单 击 “ 下 一 步 ” 按 钮 ,选择 “ 带 区 " 单 选 按钮 并 单 击 “ 下 一 步 ” 
按钮 。 

(3) 选择 想 使 用 的 磁盘 和 输入 在 每 块 磁盘 中 分 配给 该 卷 的 空间 ,并 单 击 “ 下 一 步 ” 按 钮 。 
然后 根据 向 导 指 示 完 成 相应 操作 。 

4) 镜像 卷 

镜像 卷 可 以 将 用 户 的 相同 数据 同时 复制 到 两 个 物理 磁盘 中 。 如 果 一 个 物理 磁盘 出 现 故 
障 ,虽然 该 磁盘 上 的 数据 将 无 法 使 用 ,但 系统 仍 能 够 继续 使 用 尚未 损坏 而 仍 继续 正常 运转 的 
磁盘 进行 数据 的 读 写 操作 。 镜 像 卷 的 创建 步骤 如 下 。 

(1) 在 动态 磁盘 的 某 个 要 创建 镜像 卷 的 未 分 配 空间 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 
“新 建 卷 "命令 ,弹出 "新建 卷 向 导 ” 对 话 框 。 


(2) 单 击 “下 一 步 ? 按 钮 ,在 弹出 的 对 话 框 中 选择 “镜像 单 选 按钮 (一 定 要 存在 两 个 以 上 
的 动态 磁盘 ,此 选项 才 可 选 ) 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,在 打开 的 对 话 框 中 为 镜像 磁盘 选择 磁盘 ,并 指定 磁盘 空间 大 
小 。 首 先 要 确保 两 个 动态 磁盘 上 有 足够 的 未 分 配 空间 ,把 两 个 镜像 的 磁盘 都 添加 到 对 话 
框 右边 “已 选 的 ”列表 框 中 ,然后 再 在 “选择 空间 量 ” 深 动 列表 框 中 指定 新 建 卷 的 磁盘 空间 
大 小 。 

(4) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 对 话 框 中 为 镜像 卷 指 定 驱 动 器 符号 (从 未 分 配 的 盘 符 
中 分 配 ) ,注意 ,这 时 两 个 镜像 卷 使 用 同一 个 驱动 器 符号 , 当 作 一 个 驱动 器 使 用 ,实际 上 这 就 
是 RAID-1 磁盘 阵列 模式 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 对 话 框 中 选择 要 以 何 种 格式 和 方式 格式 化 镜像 卷 。 
如 果 磁 盘 完 好 ,最 好 选择 “执行 快速 格式 化 ” 复 选 框 ,进行 快速 格式 化 对 磁盘 的 操作 最 少 , 速 
度 也 最 快 。 

(6) 单 击 * 下 一 步 ?按钮 ,弹出 一 个 向 导 完 成 对 话 框 ,在 对 话 框 中 显示 了 前 面 创建 新 卷 过 
程 中 所 做 的 各 项 配置 , 单 击 * 完 成 ?按钮 系统 对 所 选 卷 进行 格式 化 后 即 完成 镜像 卷 的 创建 。 

5) RAID-5 卷 

RAID 通过 廉价 和 元 余 的 磁盘 系统 ,将 数据 写 和 人 多 个 廉价 磁盘 ,从 而 保证 单一 硬盘 的 损 
坏 不 会 导致 数据 的 丢失 。Windows Server 2003 通过 给 该 卷 的 每 个 硬盘 分 区 中 添加 奇偶 
校 验 信息 带 区 来 实现 容错 。 如 果 某 个 硬盘 出 现 故障 , Windows Server 2003 便 可 以 用 其 余 
硬盘 上 的 数据 和 奇偶 校 验 信息 重建 发 生 故 障 的 硬盘 上 的 数据 。RAID-5 卷 的 创建 步骤 
如 下 。 

(1) 在 “磁盘 管理 "中 , 右 击 欲 设置 RAID 的 磁盘 ,在 快捷 菜单 中 选择 “新 建 卷 ”菜单 项 ， 
弹出 “欢迎 使 用 新 建 卷 向 导 ” 对 话 框 。 

(2) 单 击 “ 下 一 步 ”按钮 ,在 “选择 卷 类 型 "对 话 框 中 选择 欲 创 建 的 RAID-5 卷 。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,弹出 “选择 磁盘 ”对话 框 。 在 “所 有 可 用 的 动态 磁盘 ”列表 框 中 
选择 欲 添 加 的 磁盘 ,并 单 击 “ 添 加 ?按钮 , 即 可 将 其 添加 至 该 RAID-5 卷 , 并 显示 在 “ 选 定 的 动 
态 磁盘 ?列表 框 中 。 

(4) 添加 完毕 (至 少 添加 至 3 块 硬盘 ) , 单 击 * 下 一 步 "按钮 ,在 “指派 驱动 器 号 和 路 径 ” 
对 话 框 中 选中 “指派 驱动 器 号 " 单 选 按 钮 ,并 为 该 RAID-5 卷 指派 驱动 器 号 ,便于 管理 和 
访问 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,在 “ 卷 区 格式 化 ”对 话 框 中 选择 “ 按 下 面 提 供 的 信息 格式 化 这 个 
卷 " 单 选 按钮 ,并 采用 默认 的 NTFS 文件 系统 和 分 配 单位 大 小 。 在 此 可 以 为 该 RAID-5 卷 指 
定 一 个 卷 标 ,用 于 与 其 他 卷 相 区 别 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,弹出 “正在 完成 新 建 卷 向 导 ” 对 话 框 ,提示 卷 的 创建 即将 完成 ; 
然后 单 击 “ 完 成 ”按钮 ,系统 自动 格式 化 新 创建 的 卷 后 即 完成 RAID-5 卷 的 创建 。 

3. 磁盘 配额 管理 

1) 磁盘 配额 

磁盘 配额 是 基于 用 户 和 分 区 的 文件 存储 管理 工具 。 通 过 磁盘 配额 管理 ,网 络 管理 员 可 
以 对 本 地 用 户 或 登录 到 本 地 计算 机 的 远程 用 户 可 以 使 用 的 磁盘 空间 进行 合理 的 分 配 ,每 一 
个 用 户 只 能 使 用 网 络 管理 员 分 配 的 磁盘 空间 ,以 避免 对 资源 的 滥用 。 
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Windows Server 2003 系统 的 NTFS 文件 系统 支持 用 户 磁 盘 配 额 管 理 功 能 ,可 有 效 地 
管理 用 户 的 网 络 磁盘 空间 的 使 用 。 在 启用 磁盘 配额 功能 时 ,管理 员 可 设置 其 中 的 两 个 参数 ， 

。 磁盘 配额 限度 : 该 参数 用 于 指定 允许 用 户 使 用 的 最 大 磁盘 空间 容量 。 

。 磁盘 配额 警告 级 别 : 该 参数 指定 一 用 户 接近 其 配额 限制 的 值 。 

启用 卷 的 磁盘 配额 时 ,磁盘 配额 不 会 应 用 到 现 有 的 卷 用 户 上 ,这 时 可 以 通过 在 “配额 项 
目 "窗口 中 添加 新 的 配额 项 目 来 将 磁盘 空间 配额 应 用 到 现 有 的 卷 用 户 上 。 由 于 磁盘 配额 能 
够 监视 单个 用 户 卷 的 使 用 情况 ,因此 每 个 用 户 对 磁盘 空间 的 利用 都 不 会 影响 同一 卷 上 的 其 
他 用 户 的 磁盘 配额 。 在 用 户 看 来 与 在 一 个 独立 的 磁盘 卷 中 进行 操作 没什么 两 样 。 另 外 ,要 
支持 磁盘 配额 ,磁盘 卷 必须 使 用 NTFS 文件 系统 格式 化 ,并 且 不 受 卷 中 用 户 文件 的 文件 夹 
位 置 的 限制 。 

2) 启用 磁盘 配额 

启用 磁盘 配额 ,可 以 在 用 户 超 过 管理 员 所 指定 的 磁盘 空间 时 ,阻止 其 进一步 使 用 磁盘 空 
间或 记录 用 户 的 使 用 情况 。 启 用 磁盘 配额 的 方法 如 下 : 

(1) 在 Windows 资源 管理 器 中 , 右 击 欲 启用 磁盘 配额 的 卷 ,在 快捷 菜单 中 选择 “属性 ” 
命令 ,打开 “磁盘 属性 ”对 话 框 。 


(2) 单 击 “ 配 额 ” 标 签 , 切 换 到 如 图 6-35 所 示 zx 
的 “配额 "选项 卡 。 选 中 “启用 配额 管理 ” 复 选 框 ， srAeL et ls | 


其 下 的 各 个 复 选 框 将 变 为 可 用 状态 ,其 中 ,选择 | 要 
“拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 " 复 先 opmomeego 
框 ,表示 磁盘 使 用 空间 超过 配额 限制 的 用 户 将 收 厂 拒绝 将 磺 盘 裤 间 结 超过 也 客 限制 的 用 户 中) 
到 来 自 Windows 的 “磁盘 空间 不 足 ”的 提示 信息 ， 为 上 用户 
并 且 在 没有 从 中 删除 和 移动 现存 文件 的 情况 下 ， 0 
无 法 将 额外 的 数据 写 入 卷 中 。 如 果 撤 选 该 复 先 [5 
框 , 则 用 户 可 以 超过 配额 限制 ,无 限制 地 使 用 磁盘 和 emma 
空间 。 A 

(3) 如 果 选 中 “不 限制 磁盘 使 用 ” 单 选 按钮 ， 
则 用 户 可 以 无 限制 地 使 用 服务 器 磁盘 空间 。 选 中 mn. | 
“将 磁盘 空间 限制 为 "和 “将 警告 等 级 设 为 " 单 选 按 
钮 ,管理 员 可 以 输入 允许 卷 的 新 用 户 使 用 的 磁盘 

取消 应 用 人) 


空间 ,在 用 户 使 用 的 磁盘 空间 接近 警告 值 时 发 出 
警告 。 
(4) 选中 “用 户 超出 配额 限制 时 记录 事件 " 复 


图 6-35 “配额 选项 卡 


选 框 ,如 果 启 用 磁盘 配额 , 则 只 要 用 户 超过 管理 员 设 置 的 配额 限制 .事件 就 会 写 人 到 本 地 计 
算 机 的 系统 日 志 中 。 管 理 员 可 以 用 事件 查看 器 ,通过 筛选 磁盘 事件 类 型 来 查看 这 些 事 件 。 
默认 情况 下 ,配额 事件 每 小 时 都 会 被 写 人 本 地 计算 机 的 系统 日 志 。 

(5) 选中 “用 户 超过 警告 等 级 时 记录 事件 " 复 选 框 ,如 果 启 用 配额 , 则 只 要 用 户 超 过 管理 
员 设 置 的 警告 级 别 , 事 件 就 会 写 人 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 事件 查看 器 ， 


通过 筛选 磁盘 事件 类 型 来 查看 这 些 事 件 。 


(6) 单 击 “ 确 定 " 按 钮 ,保存 所 做 设置 ,启用 磁盘 配额 。 


6.4.3 逻辑 资源 管理 


逻辑 资源 是 指 利用 计算 机 系统 通过 通信 设备 传播 和 网 络 软件 管理 的 各 种 信息 资源 的 总 
和 。 人 逻辑 资源 的 狭义 理解 为 : 信息 资源 就 是 指 文献 资源 或 者 数据 资源 ,或 者 各 种 媒介 和 形 
式 的 信息 的 集合 ,包括 文字 .音像 .印刷 品 .电子 信 息 、 数 据 库 等 限于 信息 本 身 的 资源 。 逻 辑 
资源 的 广义 理解 为 : 信息 资源 是 信息 活动 中 各 种 要 素 的 总 称 , 既 包 含 信息 本 身 , 也 包含 信息 
相关 的 人 员 ,设备 ,技术 和 资金 等 各 种 资源 。 

本 章 6.5 和 6.6 节 的 内 容 实 属 企业 逻辑 资源 的 管理 ,下 面 以 Windows Server 2003 的 
文件 管理 为 例 介绍 一 般 逻 辑 资源 的 管理 。 

1. 文件 管理 

1) 文件 服务 器 的 主要 功能 

在 企业 网 络 中 ,为 了 有 效 地 执行 各 项 文件 管理 功能 ,通常 是 把 一 台 运 行 Windows 
Server 2003 系统 的 成 员 服 务 器 配置 成 文件 服务 器 ”。 文 件 服务 器 提供 网 络 上 文件 所 处 的 
中 心 位 置 ,可 供 存储 文件 并 通过 网 络 与 用 户 共 享 文件 。 当 用 户 需要 重要 文件 时 ,他 们 可 以 访 
问 文件 服务 器 上 的 文件 ,而 不 必 在 各 自 独 立 的 计算 机 之 间 传 送 文件 。 如 果 网 络 用 户 需要 对 
相同 文件 和 可 通过 网 络 访问 的 应 用 程序 访问 权限 ,就 要 将 该 计算 机 配置 为 文件 服务 器 。 默 
认 情 况 下 ,文件 服务 器 角色 安装 有 下 列 功能 。 

(1) 文件 服务 器 管理 : 文件 服务 器 管理 控制 台 为 管理 文件 服务 器 提供 集中 的 工具 。 使 
用 文件 服务 器 管理 ,可 以 创建 和 管理 共享 ,设置 配额 限制 ,创建 存储 利用 情况 报告 ,将 数据 复 
制 到 文件 服务 器 和 从 文件 服务 器 中 复制 数据 ,管理 存储 区 域 网 络 (SAN), 以 及 与 UNIX 和 
Macintosh 系统 共享 文件 。 

(2) 存储 报告 : 使 用 存储 报告 ,可 以 分 析 服 务 器 上 的 磁盘 空间 是 如 何 使 用 的 。 例 如 ,可 
以 生成 识别 重复 文件 的 按 需 或 计划 报告 ,然后 删除 这 些 复制 文件 以 便 回收 磁盘 空间 。 

(3) 配额 和 文件 屏蔽 : 使 用 配额 ,可 以 限制 卷 或 文件 夹子 树 大 小 ,可 以 将 Windows 配置 
为 在 达到 配额 限制 时 通知 用 户 ; 使 用 文件 屏蔽 ,可 以 防止 某 些 类 型 的 文件 被 保存 到 文件 夹 
或 卷 。 文 件 屏蔽 有 助 于 确保 用 户 不 在 服务 器 上 保存 某 些 可 能 导致 用 户 违反 知识 产权 法 的 非 
关键 性 数据 和 文件 。 

(4) DFS 管理 : 使 用 “DFS 管理 ”管理 单元 ,可 以 管理 从 分 支 机 构 中 的 服务 器 到 数据 中 
心服 务 器 的 数据 复制 。 这 样 ,数据 可 以 被 集中 备份 ,而 不 必 在 分 支 机 构 备份 数据 。 使 用 
“DFS 管理 管理 单元 ,还 可 以 对 位 于 不 同 服务 器 上 的 共享 文件 夹 进行 分 组 并 将 其 作为 虚拟 
文件 夹 树 ( 称 为 “名 称 空间 ”) 提 供给 用 户 。 名 称 空间 可 以 提供 很 多 好 处 ,包括 提高 数据 的 可 
用 性 、 分 担负 载 和 简化 数据 迁移 。 

2) 配置 文件 服务 器 

文件 服务 是 局 域 网 中 最 常用 的 服务 之 一 ,在 局 域 网 中 搭建 文件 服务 器 以 后 ,可 以 通过 设 
置 用 户 对 共享 资源 的 访问 权限 来 保证 共享 资源 的 安全 。 配 置 文件 服务 器 的 步骤 如 下 : 

(1) 先 将 计算 机 的 文件 分 区 格式 转换 成 NTFS; 然后 以 系统 管理 员 身 份 登录 系统 ,在 
“开始 ”菜单 中 依次 单 击 “管理 工具 ”一 “管理 您 的 服务 器 "命令 ,打开 “管理 您 的 服务 器 "向导 。 
在 “添加 角色 到 您 的 服务 器 "区域 中 单 击 “ 添 加 或 删除 角色 ”按钮 ,进入 配置 向 导 并 单 击 “下 一 
步 " 按 钮 。 配 置 向 导 完 成 网 络 设置 的 检测 后 ,如 果 是 第 一 次 使 用 该 向 导 , 则 会 进入 “配置 选 


日 党 运 维 与 党 理 


地 口 典 
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项 "对话 框 。 选 中 * 自 定义 配置 " 单 选 按钮 ,并 单 击 * 下 一 步 ?按钮 。 

(2) 打开 “服务 器 角色 ”对 话 框 ,在 其 列表 框 中 选中 “文件 服务 器 ”, 并 单 击 “ 下 一 步 ” 
按钮 。 

(3) 在 打开 的 “文件 服务 器 磁盘 配额 "对话 框 中 选中 “为 此 服务 器 的 新 用 户 设置 默认 磁 
盘 空 间 配额 " 复 选 框 ,并 根据 磁盘 存储 空间 及 用 户 实际 需要 在 “将 磁盘 空间 限制 为 "? 和 “将 警 
告 级 别 设置 为 ”文本 框 中 输入 合适 的 数值 。 另 外 ,选中 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 
用 户 " 复 选 框 ,可 以 禁止 用 户 在 其 已 用 磁盘 空间 达到 限额 后 向 服务 器 写 入 数据 。 单 击 “ 下 一 
步 " 按 钮 ,如 图 6-36 所 示 。 


EEEEETEEEB x 


文件 服务 器 开 委 村人 
在 此 服务 器 上 使 用 暴 委 也 儿 踪 并 克制 有 盘 全 | 则 使 用。 EE | 
SS 
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克 为 此 服务 器 的 新 用 户 设 置 驮 认 记 盘 空间 配额 @) 
将 而 熏 空 间 限 和 为 Q: 「 50 [5 ”可 
将 区 半角 中 届 置 为 @)- [500 [大 有 本 

厂 拒绝 将 磁盘 空间 给 超过 配 间 限 和 的 用 户 D) 
当 用 户 超 过 了 下 列 之 一 ， 记 录 一 个 日 志 事件 
厂 磁盘 空间 限制 罗 ) 

厂 警 涯 级 别 o) 


0 RN | 和 | 
图 6-36 “文件 服务 器 磁盘 配额 "对话 框 


(4) 在 打开 的 “文件 服务 器 索引 服务 ”对 话 框 中 ,选中 “是 ,启用 索引 服务 ” 单 选 按钮 , 启 
用 对 共享 文件 夹 的 索引 服务 。 单 击 “ 下 一 步 ”按钮 。 

(5) 打开 “选择 总 结 ” 对 话 框 ,确认 设置 准确 无 误 后 单 击 " 下 一 步 ”按钮 。 添 加 向 导 开 始 
启用 所 选 服务 ,完成 后 会 自动 打开 “共享 文件 夹 向 导 ” 对 话 框 ,然后 单 击 “ 下 一 步 "按钮 。 

(6) 在 打开 的 “文件 夹 路 径 ” 对 话 框 中 单 击 “ 浏 览 ” 按 钮 ,打开 “浏览 文件 夹 " 对 话 框 。 在 
本 地 磁盘 中 找到 准备 设置 为 公共 资源 的 文件 夹 ,并 依次 单 击 “ 确 定 ”“ 下 一 步 ” 按 钮 。 

(7) 打开 “名 称 、 描 述 和 设置 ”对话 框 , 在 这 里 可 以 设置 共享 名 和 描述 该 共享 文件 夹 的 语 
言 ,设置 完毕 后 单 击 “ 下 一 步 " 按 钮 。 

(8) 在 打开 的 “权限 ”对 话 框 中 选中 “管理 员 有 完全 访问 权限 ; 其 他 用 户 有 只 读 访 问 权 
限 " 单 选 按 钮 ,并 依次 单 击 “ 完 成 "按钮 。 

(9) 打开 “共享 成 功 ” 对 话 框 , 在 “摘要 "文本 框 中 显示 出 共享 文件 夹 路 径 、 共 享 名 和 共享 
路 径 , 其 中 “共享 名 ”和 “共享 路 径 ” 用 来 向 网 络 用 户 公 布 。 单 击 “ 关 闭 ” 按 钮 即 可 完成 文件 
服务 器 的 建立 ,并 可 以 进行 相应 项 目的 管理 ,如 图 6-37 所 示 为 完成 后 的 文件 服务 器 管理 
窗口 。 


[lalx] 
基本 


从 文件 四 捧 作 名 ”可 看 匀 收 主 天 加 窗口 D 要 助 吕 
和 + 妈 @ 


屁 主 csanrams. 和 让 于 


B= 


图 6-37 文件 服务 器 管理 窗口 


2. DFS 管理 
分 布 式 文件 系统 (Distributed File System,DFS) 作为 一 种 服务 ,使 得 系统 管理 员 可 以 把 


局 域 网 中 不 同 服务 器 上 的 共享 文件 夹 组 织 在 一 起 ,构建 成 一 个 目录 树 。 这 样 ,用 户 就 不 必 知 
道 这 些 共 享 文件 夹 到 底 在 哪 台 服 务 器 上 ,也 不 必 一 一 搜索 并 映射 它们 ,只 需 访 问 共享 的 
DFS 根 目录 ,就 能 够 很 轻松 地 访问 分 布 在 网 络 上 的 文件 或 文件 夹 。 

1) 分 布 式 文件 系统 的 类 型 

分 布 式 文件 系统 有 两 种 类 型 : 一 种 是 独立 的 根 目录 分 布 式 文件 系统 , 另 一 种 是 域 分 布 
式 文件 系统 。 

如 图 6-38 所 示 是 独立 的 根 目录 分 布 式 文件 系统 ,其 目录 配置 信息 存储 在 本 地 的 主 服务 
器 上 ,访问 根 或 链接 的 路 径 以 主 服务 器 名 称 开始 ,独立 的 根 目录 只 有 一 个 根 目 标 ,没有 根 级 
别 的 容错 。 因 此 , 当 根 目录 不 可 用 时 ,整个 DFS 名 称 空间 都 不 可 访问 。 
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图 6-38 独立 的 根 目录 分 布 式 文件 系统 示意 图 


独立 的 分 布 式 文件 系统 根 目录 具有 以 下 特点 : 
。 不 使 用 活动 目录 。 

。 最 多 只 能 有 一 个 根 目 录 级 别 的 目标 。 

。 使 用 文件 复制 服务 不 能 支持 自动 文件 复制 。 
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。 通过 服务 器 群集 支持 容错 。 
如 图 6-39 所 示 为 域 分 布 式 文件 系统 ,其 中 ,DFS 拓扑 信息 被 存储 在 活动 目录 中 ,因为 该 


信息 对 域 中 多 个 域 控制 器 都 可 用 ,所 以 域 DFS 为 域 中 的 所 有 分 布 式 文件 系统 都 提供 了 


Server2 

DFS 根 

图 6-39 域 分 布 式 文件 系统 示意 图 
域 DFS 根 目录 具有 以 下 特点 : 


。 必须 在 域 成 员 服 务 器 上 创建 。 

。 使 其 DFS 名 称 空间 自动 发 布 到 活动 目录 中 。 

可 以 有 多 个 根 目录 级 别 的 目标 。 

通过 文件 复制 服务 支持 自动 文件 复制 。 

。 通过 FRS 支持 容错 。 

2) 分 布 式 文件 系统 的 配置 

一 个 完整 的 DFS 需要 创建 DFS 根 目 录 、 根 目标 (可 选 )、DFS 链接 和 DFS 目标 。 

(1) 创建 DFS 根 目录 

使 用 DFS 管理 工具 ,可 以 指定 某 个 目录 为 DFS 根 目录 。 除 了 访问 该 目录 外 ,用 户 还 可 


以 访问 该 目录 的 任何 子 文件 夹 ,创建 DFS 根 目录 的 步 又 如 下 ， 
@ 执行 “开始 "~“ 管 理工 具 ”>“ 分 布 式 文件 系统 "菜单 命令 ,打开 如 图 5-40 所 示 “ 分 布 


式 文件 系统 ”控制 台 窗 口 。 
TE 
文件 四 ”六 作风 查看 帮助 o) 

+ 小 || 加 | 日 | 名 困 | 汇 角 


EE 


分 布 式 文才 系统 
区 用 人 加 到 六 件 系 缮 ps) ， 交 可 以 绥 织 多 个 共享 文 并 志 或 有 标 ， 把 它们 的 一个 根 目录 外接 的 i 各 名 称 问 。 你 也 可 以 使 用 2s 来 控 抽 文件 
条 怎样 在 目标 之 问 复制 文件 - 
一 个 现 有 的 DFS 根 目录 ， 请 间 击 “ 欣 作 ”， 然后 单 击 “显示 根 目录 ”。 要 创建 一 个 FS 机 目录 , 语音 击 “ 抬 作 ”， 然后 单 击 “ 新 建 根 目录”, 


图 6-40 “分 布 式 文件 系统 ”控制 台 窗口 


@ 在 左边 导航 栏 中 右 击 “ 分 布 式 文件 系统 ”命令 ,在 弹出 的 快捷 菜单 中 选择 “新 建 根 目 
录 ” 命 令 , 打 开 “ 新 建 根 目录 向 导 ” 对 话 框 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,在 打开 的 对 话 框 中 选择 创建 的 DFS 根 目录 类 型 ,可 以 是 域 根 目 
录 , 也 可 以 是 独立 根 目录 。 域 根 目录 位 于 域 控制 器 上 ,而 独立 根 目录 是 位 于 成 员 服 务 器 上 
的 。 在 此 选择 “ 域 根 目录 ” 单 选 按钮 来 创建 域 根 目录 。 

@ 单 击 “ 下 一 步 " 按 钮 ,打开 如 图 6-41 所 示 “ 主 持 域 ”对话 框 。 在 此 对 话 框 的 “域名 ” 文 
本 框 中 输入 DFS 根 目录 作用 的 域 ,可 以 是 当前 域 , 也 可 以 是 当前 域 所 信任 的 域 , 如 子 域 ,或 
者 其 他 域 树 中 的 域 。 

@ 单 击 * 下 一 步 ?按钮 ,在 打开 的 对 话 框 中 输入 DFS 根 目 录 所 对 应 的 主 服务 器 名 称 ,或 
单 击 “ 浏 览 ” 按 钮 查找 相应 域 的 主 服务 器 。 

@ 单 击 “ 下 一 步 ” 按 钮 ,为 所 创建 的 域 根 目录 取 一 个 用 于 识别 的 名 称 。 

@ 单 击 “ 下 一 步 " 按 钮 ,在 打开 的 对 话 框 中 指定 这 个 DFS 根 目录 共享 的 服务 器 位 置 。 
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主持 域 
域 可 主持 多 个 DFS 根 目录 。 


键入 域 以 主持 根 目录 ,或 从 信任 的 域 列表 中 选择 一 个 。 
域名 @): 


《< 上- 步 @) [下 一步 如 > 取消 
图 6-41 “主持 域 " 对 话 框 


@@ 单 击 “下 一 步 ”按钮 打开 向 导 完 成 对 话 框 ,直接 单 击 “ 完 成 ”按钮 完成 域 DFS 根 目录 
的 创建 ,如 图 6-42 所 示 。 
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文件 EE) 操作 册 查看 @) 帮助 
全 二 | 白 困 | 晕 回 屋 | 国 困 让 交 轩 学 私交 


岩 接 数目 : 显示 了 0 个 ， 总 共 0 个 | 


图 6-42 域 DFS 根 目录 
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(2) 添加 DFS 根 目标 (可 选 ) 

域 控制 器 上 的 一 个 域 DFS 根 目录 可 以 对 应 网 络 中 其 他 许多 服务 器 上 的 多 个 根 目录 ,这 
些 服 务 器 上 的 根 目 录 就 相当 于 域 DFS 根 目 录 的 目标 目录 (简称 根 目标 )。 创 建 根 目标 的 意 
义 主要 是 用 来 负载 均衡 和 容错 , 当 共 享 资源 访问 量 较 大 时 ,多 个 根 目 标 就 可 以 分 担 根 目录 的 
负荷 ,而 且 在 根 目录 出 现 故 障 时 , 根 目标 仍然 可 以 为 用 户 提供 DFS 服务 。DFS 根 目标 的 创 
建 步骤 与 DFS 根 目录 的 创建 步骤 差不多 ,具体 如 下 : 

@ 在 “分 布 式 文件 系统 "控制 台 窗 口中 选择 相应 的 根 目录 , 右 击 ,在 弹出 的 快捷 菜单 中 
选择 “新 建 根 目录 目标 "命令 ,在 打开 的 对 话 框 中 选择 根 目标 所 对 应 的 服务 器 。 

@ 正确 选择 了 根 目标 所 对 应 的 服务 器 后 ,如 果 在 所 选 服务 器 上 没有 创建 与 根 目 录 共享 
文件 夹 名 一 样 的 共享 文件 夹 , 则 在 单 击 “ 下 一 步 " 按 钮 后 ,重新 指定 创建 根 目标 共享 文件 夹 的 
位 置 。 

@ 配置 好 创建 根 目标 共享 文件 夹 位 置 后 ,打开 向 导 完 成 对 话 框 。 直 接 单 击 “ 完 成 "按钮 
完成 一 个 根 目标 的 创建 。 一 个 DFS 根 目录 可 以 创建 多 个 分 布 于 多 个 服务 器 上 的 DFS 根 目 
标 ,其 他 根 目标 的 创建 方法 一 样 。 

(3) 添加 DFS 链接 

DFS 链接 是 DFS 名 称 空间 的 元 素 , 它 是 DFS 系统 中 真正 的 共享 资源 。 它 们 位 于 根 目 
录 下 方 并 映射 到 DFS 根 目 录 , 或 者 映射 到 一 个 或 多 个 根 目标 。 访 问 DFS 名 称 空间 的 用 户 
看 到 的 是 根 目录 下 作为 文件 夹 而 列 出 的 链接 名 ,而 不 是 目标 的 实际 名 称 和 物理 位 置 , 它 们 的 
关系 实际 有 些 像 Web 站 点 和 FTP 站 点 中 的 虚拟 目录 。 由 于 链接 名 不 受 目标 名 称 或 位 置 的 
限制 ,所 以 可 以 创建 对 用 户 具有 意义 的 链接 名 。 

添加 DFS 链接 的 方法 很 简单 ,只 需 在 ”分布 式 文件 系统 "控制 台 窗口 DFS 根 目 录 上 右 
击 , 在 弹出 的 快捷 菜单 中 选择 “新 建 链接 ”命令 ,打开 如 图 6-43 所 示 的 “新 建 链接 "对话 框 。 
在 “链接 名 称 ” 文 本 框 中 输入 新 链接 的 名 称 ,在 本 到 
“目标 路 径 "文本 框 中 输入 新 链接 的 目标 路 径 ，。 六 本 全 宙 各 > 妆 则 庆 打 开 这 个 外 接 时 ,它们 让 可 
或 单 击 “ 浏 览 " 按 钮 , 从 中 选择 网 络 中 需要 放 和 tags 和 mw. 


DFS 根 目录 中 的 共享 文件 夹 即 可 。 Es pr 
(4) 添加 DFS 目标 ea 
对 于 每 个 DFS 链接 ,可 以 创建 该 DFS 链 一 
接 指向 的 目标 集 , 也 就 是 可 以 有 多 个 目标 。 在 。 注 国 


目标 集中 ,创建 DFS 链接 时 已 将 第 一 个 文件 夹 
添加 到 该 集 。 使 用 DFS 管理 工具 的 “新 建 目 Te 
标 ” 对 话 框 添加 随后 的 目标 。 添 加 目标 的 方法 
如 下 : Cw |] ws | 
Q@ 在 “分 布 式 文件 系统 ”控制 台 窗 口 DFS  ， 
链接 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “新 建 
目标 ”命令 ,在 打开 的 对 话 框 中 指定 该 链接 的 目标 的 共享 文件 夹 。 如 果 不 选择 “将 这 个 目标 
添加 到 复制 集中 " 复 选 框 , 则 直接 把 这 个 目标 共享 文件 夹 添加 到 DFS 链接 的 目标 集中 。 
@ 如 果 选 择 了 “将 这 个 目标 添加 到 复制 集中 ” 复 选 框 , 则 会 提示 用 户 “配置 复制 后 才能 
复制 目标 ”, 然 后 在 弹出 “配置 复制 向 导 ” 对 话 框 中 进行 相应 的 配置 即 可 。 


图 6-43 “新 建 链接 ”对 话 框 


@ 单 击 “ 完 成 "按钮 完成 目标 创建 。 

通过 以 上 DFS 根 目 录 、DFS 根 目标 .DFS 链接 和 DFS 目标 的 创建 ,就 完成 一 个 完整 的 
DFS 系统 创建 ,如 图 6-44 所 示 。 这 样 用 户 只 需要 访问 根 目录 ,或 Drs 
需要 的 共享 文件 资源 ,而 不 必 有 到 各 服务 器 上 去 一 一 查找 具体 的 共享 文件 夹 。 这 一 方面 方便 
了 用 户 的 访问 , 另 一 方面 也 方便 了 管理 员 对 网 络 中 共享 资源 的 管理 。 
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图 6-44 ”DFS 系统 


3) DFS 的 复制 组 

DFS 复制 是 一 个 基于 状态 的 新 型 多 主机 复制 引擎 ,支持 复制 计划 和 带宽 限制 。 
DFS se 
让 这 些 目标 之 间 自 动 复制 文件 以 使 文件 保持 同步 ,不 过 用 户 需 要 将 这 些 目 标 所 在 的 服务 器 
设置 为 同一 个 复制 组 ,并 做 必要 的 设置 。 创 建 复制 组 步骤 如 下 : 

(1) 单 击 “开始 ?按钮 ,指向 “管理 工具 ”, 然 后 单 击 *DFS 管理 ”。 

(2) 在 控制 台 树 中 , 右 击 “复制 "节点 ,然后 从 快捷 菜单 中 选择 “新 建 复 制 组 "命令 。 

(3) 按照 “新 建 复制 组 向 导 ” 中 的 指示 完成 其 他 操作 。 


6.5 业务 管理 


网 络 管理 员 除 了 掌握 必要 的 软件 和 硬件 技术 以 外 ,还 需要 对 企业 生产 和 经 营 的 业务 应 
用 系统 ,如 财务 管理 系统 .办 公 自 动 化 系统 .ERP 系统 等 的 基本 知识 有 深刻 的 理解 ,并 掌握 
其 基本 操作 。 这 不 但 能 够 保障 网 络 基础 设施 正常 .稳定 地 运行 ,而 且 还 能 够 确保 生产 、 经 营 
业务 的 正常 开展 。 


6.5.1 电子 政务 管理 


1. 电子 政务 

电子 政务 是 政府 在 其 管理 和 服务 职能 中 运用 现代 信息 和 通信 技术 ,实现 政府 组 织 结构 
和 工作 流程 的 重组 优化 ,超越 时 间 和 空间 ,以 及 部 门 分 割 的 制约 ,全 方位 地 向 社会 提供 优质 、 
规范 、 透 明 的 服务 。 

一 般 而 言 ,政府 的 主要 职能 在 于 经 济 管理 \ 市 场 监 管 .社会 管理 和 公共 服务 。 而 电子 政 
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务 就 是 要 将 这 四 大 职能 电子 化 、 网 络 化 ,利用 现代 信息 技术 对 政府 进行 信息 化 改造 ,以 提高 
政府 部 门 依法 行政 的 水 平 。 电 子 政务 应 用 主要 包括 政府 与 政府 ,政府 与 企业 政府 与 公民 之 
间 3 方面 。 

1) 政府 间 的 电子 政务 

政府 间 的 电子 政务 是 上 下 级 政府 ,不 同 地 方 政府 不同 政 府 部 门 之 间 的 电子 政务 ,主要 
包括 以 下 内 容 。 

(1) 电子 法 规 政策 系统 : 对 所 有 政府 部 门 和 工作 人 员 提 供 相关 的 现行 有 效 的 各 项 法 
律 \ 法 规 、 规 章 , 行 政 命令 和 政策 规范 ,使 所 有 政府 机 关 和 工作 人 员 真 正 做 到 有 法 可 依 ,有 法 

(2) 电子 公文 系统 : 在 保证 信息 安全 的 前 提 下 ,在 政府 上 下 级 、 部 门 之 间 传 送 有 关 的 政 
府 公文 ,如 报告 请示、 批复 、 公 告 通知、 通报 等 ,使 政务 信息 十 分 快捷 地 在 政府 间 和 政府 内 
流转 ,提高 政府 公文 处 理 速 度 。 

(3) 电子 司法 档案 系统 : 在 政府 司法 机 关 之 间 共享 司法 信息 (如 公安 机 关 的 刑事 犯罪 
记录 审判 机 关 的 审判 案例 检察 机 关 检 察 案例 等 ) ,可 以 改善 司法 工作 效率 ,提高 司法 人 员 
综合 能 力 。 

(4) 电子 财政 管理 系统 : 向 各 级 国家 权力 机 关 、 审 计 部 门 和 相关 机 构 提供 分 级 、 分 部 门 
历年 的 政府 财政 预算 及 其 执行 情况 ,包括 从 明细 到 汇总 的 财政 收入 .开支 .拨付 款 数据 以 及 
相关 的 文字 说 明和 图 表 , 便 于 有 关 领 导 和 部 门 及 时 掌握 和 监控 财政 状况 。 

(5) 电子 办 公 系 统 : 通过 网 络 完成 机 关 工 作 人 员 的 诸多 事务 性 的 工作 ,节约 时 间 和 费 
用 ,提高 工作 效率 ,如 工作 人 员 通 过 网 络 申请 出 差 .请假 ,文件 复制 使 用 办 公设 施 和 设备 、 下 
载 政 府 机 关 经 常 使 用 的 各 种 表格 ,报销 出 差 费 用 等 。 

(6) 电子 培训 系统 : 对 政府 工作 人 员 提 供 各 种 综合 性 和 专业 性 的 网 络 教 育 课程 ,特别 
是 适应 信息 时 代 对 政府 的 要 求 , 加 强 对 员工 与 信息 技术 有 关 的 专业 培训 ,员工 可 以 通过 网 络 
随时 随地 注册 参加 培训 课程 .接受 培训 、 参 加 考试 等 。 

(7) 业绩 评价 系统 : 按照 设 定 的 任务 目标 `. 工 作 标准 和 完成 情况 ,对 政府 各 部 门 业绩 进 
行 科学 的 测量 和 评估 。 

2) 政府 对 企业 的 电子 政务 

政府 对 企业 的 电子 政务 是 指 政府 通过 电子 网 络 系统 进行 电子 采购 与 招标 ,精简 管理 业 
务 流程 ,快捷 迅速 地 为 企业 提供 各 种 信息 服务 ,主要 包括 以 下 内 容 。 

(1) 电子 采购 与 招标 : 通过 网 络 公布 政府 采购 与 招标 信息 ,为 企业 特别 是 中 小 企业 参 
与 政府 采购 提供 必要 的 帮助 ,向 他 们 提供 政府 采购 的 有 关 政 策 和 程序 ,使 政府 采购 成 为 阳光 
作业 ,减少 徇私 舞 刺 和 暗箱 操作 ,降低 企业 的 交易 成 本 ,节约 政府 采购 支出 。 

(2) 电子 税务 : 使 企业 通过 政府 税务 网 络 系统 ,在 家 里 或 企业 办 公 室 就 能 完成 税务 登 
记 、 税 务 申报 、 税 款 划拨 、 查 询 税收 公报 、 了 解 税收 政策 等 业务 , 既 方 便 了 企业 ,也 减少 了 政府 
的 开支 。 

(3) 电子 证 照办 理 : 让 企业 通过 Internet 申请 办 理 各 种 证 件 和 执照 ,缩短 办 证 周期 , 减 
轻 企 业 负 担 , 如 企业 营业 执照 的 申请 、 受 理 、 审 核 ,发 放 、 年 检 、 登 记 项 目 变更 、 核 销 ,统计 证 、 
土地 和 房产 证 、 建 筑 许可 证 、 环 境 评估 报告 等 证 件 、 执 照 和 审批 事项 的 办 理 。 

(4) 信息 咨询 服务 : 政府 将 拥有 的 各 种 数据 库 信 息 对 企业 开放 ,方便 企业 利用 。 如 法 


律 法 规 规章 政策 数据 库 、 政 府 经 济 白皮书 、 国 际 贸易 统计 资料 等 信息 。 

(5) 中 小 企业 电子 服务 : 政府 利用 宏观 管理 优势 和 集合 优势 ,为 提高 中 小 企业 国际 竞 
争 力 和 知名 度 提供 各 种 帮助 。 包 括 为 中 小 企业 提供 统一 政府 网 站 入 口 ,帮助 中 小 企业 同 电 
子 商务 供应 商 争 取 有 利 的 能 够 负担 的 电子 商务 应 用 解决 方案 等 。 

3) 政府 对 公民 的 电子 政务 

政府 对 公民 的 电子 政务 是 指 政府 通过 网 络 系统 为 公民 提供 的 各 种 服务 ,主要 包括 以 下 
内 容 。 
(1) 教育 培训 服务 : 建立 全 国 性 的 教育 平台 ,并 资助 所 有 的 学 校 和 图 书馆 接 入 互联 网 
和 政府 教育 平台 ; 政府 出 资 购 买 教育 资源 ,然后 对 学 校 和 学 生 提 供 ; 重点 加 强 对 信息 技术 
能 力 的 教育 和 培训 ,以 适应 信息 时 代 的 挑战 。 

(2) 就 业 服 务 : 通过 电话 .Internet 或 其 他 媒体 向 公民 提供 工作 机 会 和 就 业 培训 ,促进 
就 业 。 如 开设 网 上 人 才 市 场 或 劳动 市 场 , 提 供与 就 业 有 关 的 工作 职位 缺口 数据 库 和 求职 数 
据 库 信息 ; 在 就 业 管 理 和 劳动 部 门 所 在 地 或 其 他 公共 场所 建立 网 站 入 口 ,为 没有 计算 机 的 
公民 提供 接 入 Internet 寻找 工作 职位 的 机 会 ; 为 求职 者 提供 网 上 就 业 培训 ,分 析 就 业 形势 ， 
指导 就 业 方 向 。 

(3) 电子 医疗 服务 : 通过 政府 网 站 提供 医疗 保险 政策 信息 、 医 药 信息 ,执业 医生 信息 ， 
为 公民 提供 全 面 的 医疗 服务 ,公民 可 通过 网 络 查 询 自己 的 医疗 保险 个 人 账户 余额 和 当地 公 
共 医 疗 账户 的 情况 ; 查询 国家 新 审批 的 药品 的 成 分 .功效 .试验 数据 、 使 用 方法 及 其 他 详细 
数据 ,提高 自我 保健 的 能 力 ; 查询 当地 医院 的 级 别 和 执业 医生 的 资格 情况 ,选择 合适 的 医生 
和 医院 。 

(4) 社会 保险 网 络 服务 : 通过 电子 网 络 建立 覆盖 地 区 甚至 国家 的 社会 保险 网 络 , 使 公 
民 通 过 网 络 及 时 全 面 地 了 解 自己 的 养老 失业、 工伤 .医疗 等 社会 保险 账户 的 明细 情况 ,有 利 
于 加 深 社 会 保障 体系 的 建立 和 普及 ; 通过 网 络 公 布 最 低 收 入 家 庭 补助 ,增加 透明 度 ; 还 可 
以 通过 网 络 直 接 办 理 有 关 的 社会 保险 理赔 手续 。 

(5) 公民 信息 服务 : 使 公民 得 以 方便 、 容 易 、 费 用 低廉 地 接 入 政府 法 律 法 规 规章 数据 
库 ; 通过 网 络 提 供 被 选举 人 背景 资料 ,促进 公民 对 被 选举 人 的 了 解 ; 通过 在 线 评论 和 意见 
反馈 了 解 公民 对 政府 工作 的 意见 ,改进 政府 工作 。 

(6) 交通 管理 服务 : 通过 建立 电子 交通 网 站 提供 对 交通 工具 和 司机 的 管理 与 服务 。 

(7) 公民 电子 税务 : 允许 公民 个 人 通过 电子 报税 系统 申报 个 人 所 得 税 .财产 税 等 个 人 税务 。 

(8) 电子 证 件 服务 : 允许 居民 通过 网 络 办 理 结婚 证 、 离 婚 证 .出生 证 、 死 亡 证 明 等 有 关 
证 书 。 

2. 电子 政务 系统 

电子 政务 系统 是 面向 政府 机 关内 部 、 其 他 政府 机 构 、 企 业 、 社 会 公众 的 基于 互联 网 技术 
的 信息 处 理 系统 ,主要 通过 机 关内 部 处 理 流程 模拟 协作、 信息 发 布 ,以 及 受理 各 类 申请 、 投 
诉 、 建 议 、 要 求 来 实现 , 既 有 信息 的 发 布 和 接收 ,也 有 交互 式 的 处 理 。 如 图 6-45 所 示 为 北京 
电子 政务 系统 “首都 之 窗 ” 的 “办 事 服 务 ” 页 面 ,电子 政务 系统 是 一 种 复杂 的 综合 信息 管理 系 
统 ,通常 包括 以 下 功能 。 

1) 网 络 应 用 平台 子 系 统 
主要 为 政府 内 部 网 建设 一 个 先进 的 、 标 准 的 、 安 全 的 网 络 运 行 平台 ,以 保证 整个 网 络 系 
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图 6-45 北京 市 政务 门户 网 站 


统 的 基本 服务 完整 性 以 及 系统 的 开放 性 与 可 伸缩 性 。 该 子 系统 是 内 网 用 户 进 入 的 入 口 ,可 
对 用 户 身 份 进行 认证 ,为 用 户 提供 基本 的 网 络 服务 功能 以 及 各 种 专业 网 络 服 务 的 通道 。 该 
子 系统 可 提供 以 下 功能 。 

(1) 用 户 登录 认证 : 确定 用 户 身份 ,一 经 认证 ,全 网 通用 ,根据 用 户 身 份 和 权限 提供 相 
应 的 网 络 服务 。 

(2) 用 户 密码 修改 : 用 户 可 随时 更 改 自己 的 密码 ,系统 能 够 防止 密码 被 盗用 。 

(3) 电子 新 闻 : 可 动态 播放 政府 机 构 内 部 或 外 部 的 新 闻 事件 ,并 进行 即时 加 载 。 

(4) 电子 公告 : 及 时 提供 各 种 公告 和 通知 。 

(5) 电子 论坛 : 提供 各 种 专题 ,供用 户 参 加 讨论 和 发 表意 见 。 

2) 网 络 安全 管理 子 系统 

对 政府 内 部 网 所 有 用 户 和 所 有 网 上 业务 系统 进行 统一 管理 ,对 网 上 的 每 一 个 用 户 进行 
授权 ,并 对 入 网 的 每 一 项 服务 项 目 进 行 分 发 授权 ,以 保证 整个 网 络 的 安全 运行 。 该 子 系统 可 
提供 以 下 功能 。 

(1) 人 员 管 理 : 部 门 内 的 所 有 员工 都 是 网 上 用 户 , 系 统 可 将 每 个 用 户 看 成 一 个 独立 的 
对 象 ,为 每 个 用 户 建立 一 个 数字 身份 证 ,其 基础 数据 将 随 着 用 户 身份 的 变化 而 改变 。 

(2) 服务 项 目 管理 : 对 于 政府 内 部 不 同 的 业务 会 有 不 同 的 管理 信息 系统 ,这 些 系统 可 
称 为 服务 项 目 或 网 上 服务 资源 ,该 模块 可 对 全 网 内 的 服务 资源 进行 统一 管理 ,提供 对 服务 项 
目的 增 、 删 \ 改 、 存 等 功能 。 

(3) 授权 配置 管理 : 可 根据 用 户 的 工作 岗位 和 责任 ,为 其 分 配 相应 的 网 络 使 用 资源 ,并 


根据 用 户 地 位 的 变化 调整 授权 管理 ,包括 对 所 有 权限 进行 增 、 删 . 改 、 存 等 操作 。 

(4) 系统 维护 管理 : 包括 用 户 组 管理 ,权限 类 型 管理 ,管理 员 账 号 口令 管理 、 系 统 访问 
日 志 管 理 、 公 共 信 息 维护 管理 等 。 

3) 信息 发 布 子 系统 

信息 发 布 子 系统 为 用 户 提供 了 一 个 统一 的 信息 共享 环境 ,无 论 共 享 信息 在 物理 上 如 何 
分 布 , 都 可 使 用 户 及 时 方便 地 获取 信息 。 政 府 部 门 可 根据 自身 的 业务 特点 ,将 在 业务 运转 过 
程 中 产生 的 共享 信息 在 网 上 实时 发 布 。 该 子 系统 还 提供 各 类 业务 系统 上 网 发 布 接口 ,以 及 
信息 发 布 模板 和 工具 ,使 普通 用 户 不 需要 编程 就 可 建立 信息 发 布 栏目 ,并 可 自行 对 栏目 信息 
进行 编辑 与 维护 。 该 子 系统 可 提供 以 下 功能 。 

(1) 政务 信息 发 布 : 在 政府 部 门 的 日 常 工作 中 ,经 常 要 印刷 大 量 内 部 刊物 ,如 调研 报 
告 .内 部 参考 ,专题 研究 等 ,该 功能 可 将 这 些 信息 有 序 地 发 布 到 网 上 去 ,并 提供 信息 的 查询 、 
编辑 、 修 改 等 维护 功能 。 

(2) 领导 日 程 安排 : 政府 机 关 的 领导 工作 繁忙 ,活动 较 多 ,建立 网 上 领导 日 程 安排 可 加 
强 沟通 ,提高 工作 效率 ,便于 整个 部 门 统筹 安排 工作 。 

(3) 会 议 安排 : 提供 会 议 日 程 , 会 议 地 点 、 会 议 纪要 ,与 会 人 员 等 信息 的 发 布 和 维护 
功能 。 

(4) 共享 业务 信息 : 在 政府 网 上 会 同时 有 多 种 业务 系统 运行 ,每 种 业务 处 理 系 统 的 使 
用 部 门 和 人 员 都 互 不 相同 。 信 息 发 布 子 系统 可 为 每 个 业务 系统 提供 共享 信息 的 发 布 标准 和 
发 布 结构 ,用 户 只 要 有 权限 ,就 可 通过 发 布 系统 查看 到 各 种 业务 系统 共享 出 来 的 信息 。 

4) 公文 流转 子 系统 

公文 流转 子 系统 为 政府 部 门 或 企业 集团 创建 了 一 个 协同 办 公 的 网 络 环境 ,使 各 种 业务 
处 理工 作 可 完全 在 网 络 环境 下 完成 ,有 效 地 提高 了 办 公 效 率 , 增 强 了 决策 制定 的 可 协调 性 。 
该 子 系统 可 提供 以 下 功能 。 

(1) 新 业务 启动 : 每 个 政府 业务 的 运转 可 作为 一 个 工作 流程 , 当 用 户 在 网 上 进行 协同 
工作 时 ,可 根据 业务 需求 来 确定 已 有 工作 流程 中 的 一 个 ,启动 后 即 可 在 网 上 进行 传递 和 流 
转 。 典 型 的 业务 工作 流程 有 收文 流程 ,发文 流程 、. 签 报 流程 .出 差 流程 .协同 阅 稿 流程 等 。 

(2) 任务 管理 : 当政 府内 部 网 进入 正常 运转 时 ,网 上 会 同时 进行 多 种 业务 流程 , 某 个 用 
户 可 能 有 多 个 业务 处 理 请 示 或 指示 ,这 种 业务 工作 就 是 任务”"。 任 务 管理 模块 可 提供 任务 
接收 任务 处 理 、 任 务 发 送 、 任 务 传递 等 功能 。 

(3) 文件 录入 与 修改 : 在 公文 流转 子 系统 执行 之 前 ,政府 部 门 历史 上 已 经 人 工 积累 了 
大 量 文件 数据 。 为 了 使 用 户 能 够 及 时 准确 地 进行 网 络 查 询 ,该 模块 提供 了 历史 文件 录入 、 
文件 查询 权限 的 设置 . 必 填 项 目的 检验 等 功能 。 

(4) 文件 归档 与 查询 : 在 每 个 工作 流程 结束 后 ,所 有 文件 信息 都 自动 归档 ,同时 可 对 已 
归档 的 文件 进行 查询 ,包括 对 任意 字段 的 查询 ,对 正文 的 全 文 检索 等 功能 。 

5) 经 济 计划 管理 子 系统 

经 济 计划 管理 子 系统 可 为 综合 管理 部 门 提供 便利 的 计划 编制 工具 ,以 提高 制订 计划 的 
效率 和 能 力 。 每 个 计划 是 一 个 集合 ,包括 多 个 分 类 计划 本 ,如 农业 计划 、 社 会 发 展 计 划 等 。 
每 个 计划 本 由 多 张 计划 表格 组 成 ,计划 表格 则 由 各 种 计划 指标 构成 。 因 此 ,计划 的 基础 就 是 
计划 指标 数据 库 。 计 划 编 制 人 员 可 把 计划 表格 制 成 模板 ,将 每 个 单元 格 与 数据 库 指标 建立 
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关联 。 在 制订 新 一 年 的 计划 编制 时 ,可 将 上 一 年 的 计划 作为 模板 直接 导入 ,通过 调整 基准 年 度 
产生 当年 的 计划 草稿 ,在 此 基础 之 上 ,可 方便 地 制作 各 种 计划 。 该 子 系统 可 提供 以 下 功能 。 

(1) 计划 结构 维护 : 计划 由 计划 本 、 计 划 表 格 和 计划 指标 集 构成 ,计划 结构 维护 就 是 对 
构成 计划 的 各 个 部 分 进行 维护 ,包括 对 计划 本 身 、 计 划 本 、 计 划 表 格 .计划 文字 等 进行 增 、 删 、 
改 、 存 和 排序 等 功能 。 

(2) 数据 维护 : 选择 指标 值 的 时 间 、 地 区 、 类 别 、 数 值 等 属性 后 ,用 户 可 直接 输入 新 值 ， 
系统 本 身 具有 校 验 功能 。 

(3) 计划 查询 : 包括 对 计划 结构 ,指标 值 计划 表格 ,计划 文字 等 内 容 的 查询 。 

(4) 计划 表格 制作 : 用 户 在 Excel 中 夯 出 计划 表格 清 样 后 ,系统 可 在 表格 元 素 与 指标 对 
象 数据 之 间 建 立 对 应 关系 。 

6) 项 目 管理 子 系统 

项 目 管理 子 系统 可 为 政府 部 门 的 项 目 管理 业务 提供 管理 软件 ,动态 跟踪 项 目的 全 过 程 ， 
为 政府 决策 提供 依据 。 传 统 的 项 目 管理 是 直接 根据 项 目的 业务 需求 来 定制 的 ,一 旦 项 目 属 
性 发 生变 化 ,项 目 管理 软件 就 需要 重新 改造 。 该 子 系统 则 以 政府 投资 项 目 为 设计 对 象 , 把 各 
种 项 目 信息 作为 项 目 属 性 ,其 中 有 些 项 目 属性 为 系统 默认 属性 (如 项 目 名称 . 单 位 等 ), 有 些 
项 目 属 性 则 为 用 户 自 定义 属性 ,使 用 户 可 在 系统 原型 基础 上 再 确定 特有 属性 ,并 对 项 目 进行 
编辑 与 维护 。 此 外 ,用 户 查询 到 某 个 项 目 后 ,就 相当 于 打开 了 该 项 目的 主页 ,与 该 项 目 相关 的 
所 有 信息 都 有 相应 的 连接 ,使 对 项 目的 跟踪 ,查询 更 加 方便 快捷 。 该 子 系统 可 提供 以 下 功能 。 

(1) 项 目 属性 维护 : 系统 为 用 户 提供 了 项 目的 基本 属性 ,用 户 通过 使 用 这 些 属性 可 完 
成 基本 的 项 目 管理 工作 。 如 果 用 户 有 特殊 需求 ,还 可 使 用 项 目 属性 维护 功能 进行 扩展 ,并 对 
项 目 属性 的 数据 字典 进行 维护 ,包括 对 项 目 建设 的 性 质 、 目 的 、 类 型 水平 .资金 来 源 、 审 批 级 
别 等 内 容 的 维护 。 

(2) 项 目 数 据 编辑 : 在 项 目 属性 维护 完成 之 后 ,确定 了 项 目 结构 ,用 户 可 对 项 目的 数据 
内 容 进 行 增删 . 改 . 查 . 存 和 排序 处 理 。 

(3) 项 目 分 析 : 用 户 可 对 所 有 项 目 进 行 多 种 角度 的 分 析 , 包 括 对 项 目 分 布 . 项 目 结构 、 
项 目 效益 、 项 目 水 平等 在 线 分 析 , 并 能 生成 各 种 分 析 统 计 报 表 。 

(4) 项 目 跟 踪 : 每 个 项 目 都 有 一 个 主页 系统 ,用 户 可 通过 浏览 或 条 件 查询 得 到 项 目 列 
表 , 并 进入 项 目 主页 ,了 解 和 查看 项 目 主页 上 的 相关 信息 ,包括 项 目 基本 情况 项目 背 景 、 各 
阶段 进展 情况 .相关 项 目 对 比 、 项 目 预期 效益 .资金 到 位 情况 .项目 建设 中 的 问题 ,项 目 负责 
单位 的 更 换 及 原因 等 内 容 。 

3. 电子 政务 系统 管理 

1) 电子 政务 业务 系统 

电子 政务 的 业务 系统 主要 为 公务 员 和 和 领导 提供 办 公 和 决策 方面 的 支持 。 主 要 功能 包括 
行政 办 公 管 理 . 人 力 资 源 管 理 、 财 政 财务 管理 ,决策 支持 、 知 识 管理 等 。 电 子 政务 环境 下 的 行 
政 办 公 管 理 实现 内 部 行政 沟通 、 协 调和 监控 ,提高 办 公信 息 流转 ,提高 办 公 自 动 化 程度 。 电 
子 政务 环境 下 的 人 力 资源 管理 ,对 政府 内 部 的 人 力 资源 情况 有 一 个 全 面 的 了 解 和 管理 ,做 到 
人 尽 其 才 。 电 子 政务 环境 下 的 财政 财务 管理 ,通过 先进 的 信息 化 手段 对 政府 和 事业 单位 的 
日 常 支出 进行 管理 。 电 子 政务 环境 下 的 决策 支持 ,提供 在 线 决策 支持 能 力 ,帮助 政府 提高 决 
策 的 科学 性 和 规范 性 ,全 面 提升 政府 办 公 效 率 。 电 子 政务 环境 下 的 知识 管理 ,力图 能 够 将 最 


恰当 的 知识 在 最 恰当 的 时 间 传 递 给 最 恰当 的 人 ,以 便 使 他 们 采取 最 恰当 的 行动 ,做 出 最 好 的 
决策 ,避免 重复 错误 和 重复 工作 。 
以 SmartGov 电子 政务 业务 系统 为 例 , 其 功能 如 图 6-46 所 示 。 


SmartGoy” 是 集 安 全 性 、 稳 定性 、 易 用 性 和 可 扩展 性 于 一 身 的 新 型 政府 网 
内 容 芝 理 系统 站 管理 系统 。 拥 有 政府 信息 公开 、 在 线 办 事 、 公 众 参 与 等 一 批 符合 电子 政务 新 
SmartGOV xg 了 统 ， 可 高 光板 如 各 市 弛 政府 门户 同 站 、 各 县 区 级 政府 网 站 、 各 委 办 


A 和 局 政府 网 站 、 电 子 政务 内 外 网 等 多 类 型 政府 信息 化 平台 。( 了 解 详情 ) 
政府 网 站 管理 系统 SmartGov" 子 系统 
”SmartGov 内 容 管理 系统 ?SmartGoyv 政府 信息 公开 有 系统。 ”SmartGoy 在 线 表单 系统 
党校 网 站 管理 系统 


”SmartGov 政务 宪 察 系统 ?SmartGov 在 线 访谈 系统 ?SmartGoy 网 上 信访 系统 

站 群 管理 系统 ”SmartGov 举报 投诉 管理 系统 。 ”SmartGov 问卷 调查 管理 系统 ，SmartGov 访问 统计 管理 系统 
?SmartGoyv 博客 系统 ?SmartGov 会 员 管理 系统 ”SmartGov 评论 管理 系统 
，》SmartGov WAP 管 理 系统 


图 6-46 SmartGov 子 系统 


SmartGov 的 后 台 管理 页 面 如 图 6-47 所 示 。 
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2) 电子 政务 系统 的 管理 

网 络 管理 员 对 电子 政务 系统 的 日 常 管理 主要 包括 以 下 几 方 面 。 

(1) 网 上 信息 发 布 管理 : 对 现 有 的 政府 主页 进行 重新 设计 和 构建 ,使 其 能 为 辖区 内 的 法 
人 单位 .公众 获取 政府 信息 并 直接 在 网 上 接受 政府 提供 的 各 种 服务 提供 一 个 统一 的 网 络 平台 。 
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(2) 办 公 自 动 化 管理 : 办 公 自 动 化 不 是 简单 地 把 传统 的 办 公 模 式 照搬 到 网 上 ,而 是 要 
作业 务 部 门 的 重组 和 业务 流程 的 优化 ,网 络 管 理 员 应 该 超越 技术 的 范畴 ,能 够 有 参与 办 公 自 
动 化 业务 流程 的 制定 和 规范 的 能 力 。 

(3) 网 上 交互 式 办 公 管 理 : 用 网 络 信 息 安 全 技术 作为 保证 ,确保 7 天 X24 小 时 电子 政 
务 的 实现 。 虽 然 各 个 部 门 的 业务 是 相对 独立 的 ,但 当 用 户 办 理 一 件 事 时 还 是 要 求 与 多 个 部 
门 依次 打交道 ,网 络 管理 员 应 能 够 保证 交互 式 办 公 活 动 的 正常 开展 。 

(4) 资源 共享 与 协同 工作 管理 : 在 各 个 部 门 信息 资源 共享 的 基础 上 实现 多 个 部 门 网 上 联 
合 办 公 。 网 络 管理 员 应 该 确保 政府 信息 资源 可 以 供 全 社会 安全 共享 ,以 推动 社会 经 济 的 发 展 。 


6.5.2 电子 商务 管理 


1. 电子 商务 管理 的 概念 

电子 商务 管理 是 指 为 实现 企业 战略 目标 对 电子 商务 应 用 中 的 技术 和 商业 及 其 创新 活动 
进行 计划 、 组 织 、 领 导 和 控制 的 过 程 ; 是 开展 电子 商务 活动 的 各 类 企业 在 新 的 技术 环境 下 ， 
如 何 借助 互联 网 技术 ,开展 采购 、 生 产 、 营 销 以 及 与 之 相关 的 财务 、 人 员 、 信 息 等 经 营 活动 , 实 
现 其 商业 目标 。 

2. 电子 商务 管理 的 内 容 

电子 商务 管理 主要 包括 与 从 事 电子 商务 活动 的 组 织 有 关 的 人 、 财 、 物 时间、 信息 技术、 
环境 、 客 户 等 要 素 系统 组 成 的 信息 流 、 资 金 流 、 物 流 的 资源 管理 等 内 容 ,涉及 以 下 几 方 面 。 

(1) 电子 商务 经 营 战略 : 主要 包括 电子 商务 经 营 战略 分 析 、 电 子 商务 经 营 战略 环境 、 电 
子 商 务 经 营 战略 目标 、 电 子 商 务 经 营 战略 方法 等 内 容 。 

(2) 电子 商务 资源 管理 : 主要 包括 电子 商务 人 力 资源 管理 的 含义 、 电 子 商 务 人 力 资源 
的 构成 ,电子 商务 人 力 资源 管理 实践 .电子 商务 人 力 资源 管理 制度 ,电子 商务 物力 资源 管理 、 
电子 商务 无 形 资 产 管理 ,电子 商务 运营 资本 含义 与 特征 ,企业 资本 运营 原则 与 方式 、 企 业 资 
本 运营 案例 分 析 等 内 容 。 

(3) 电子 商务 信息 流 管理 : 主要 包括 企业 信息 化 的 含义 .企业 信息 化 过 程 ` 企 业 信 息 化 
目标 、 信 息 源 的 概念 、 信 息 源 的 属性 信息 源 的 类 型 .信息 搜集 与 处 理 、 信 息 存储 与 检索 .企业 
电子 商务 信息 流 、 企 业 电子 商务 信息 流 管理 系统 .企业 电子 商务 信息 管理 系统 运行 等 内 容 。 

(4) 电子 商务 物流 管理 : 主要 包括 物流 的 内 容 及 其 地 位 作用 、 第 三 方 物流 、 企 业 自 营 物 
流 、 企 业 物 流 运 作 方式 企业 物流 运作 内 容 与 原则 .企业 物流 运作 理念 与 目标 、 企 业 物 流 运 作 
的 主要 方法 等 内 容 。 

(5) 电子 商务 资金 流 管理 : 主要 包括 企业 资金 流 的 构成 .网 络 经 济 对 资金 流 管理 的 影 
响 \ 企 业 资金 流 管理 体系 建设 .现代 资金 流 管理 系统 的 发 展 ,MRP11 系统 的 资金 流 管理 、 
ERP 系统 的 资金 管理 等 内 容 。 

3. 电子 商务 管理 系统 

电子 商务 管理 系统 是 对 企业 的 电子 商务 活动 进行 管理 的 软件 系统 。 以 动易 BizIdea 产 
品 为 例 ,BizIdea 整合 了 电子 商务 的 全 部 业务 流程 ,实现 了 全 程式 电子 商务 管理 。BizIdea 提 
供 了 与 多 种 企业 ERP 系统 的 对 接 接口 及 系列 对 接 功 能 (如 供应 商 管理 .订货 单 管理 .退货 单 
管理 等 ) ,可 供 企业 将 自身 B2C 电子 商务 平台 与 内 部 ERP 系统 进行 全 面 整合 及 对 接 , 以 达 
到 双方 的 数据 互通 和 协同 管理 。 此 外 ,BizIdea 还 将 提供 基于 企业 内 部 管理 的 任务 管理 系 


统 ,可 供 企业 内 部 对 员工 工作 计划 及 工作 任务 进行 统一 而 有 序 的 管理 ,以 加 强 企 业内 部 工作 
效率 管理 。 

BizIdea 是 新 一 代 企业 电子 商务 管理 系统 ,是 一 套 专门 面向 大 中 型 企业 级 电子 商务 平台 
构建 与 管理 的 解决 方案 ,拥有 全 套 的 企业 电子 商务 支持 工具 。 从 站 点 构建 到 商品 陈列 、 库 存 
管理 ,从 订单 协同 处 理 到 在 线 支付 和 客户 关系 管理 ,从 促销 导购 到 销售 分 析 财 务 管理 等 辅助 
决策 工具 ,从 站 内 资讯 内 容 管理 到 人 才 招 聘 在 线 支 持 等 。 尤 为 适用 于 各 类 进行 直销 /分 销 电 
子 商务 运营 的 传统 生产 企业 和 作为 企业 分 销 渠 道 的 销售 /贸易 型 企业 。 其 电子 商务 管理 系 
统 的 功能 包括 图 6-48 所 示 的 子 系统 。 


Bbldea ”企业 电 子 商务 管理 系统 是 新 一 代 企业 级 电子 商务 平台 。Bizldea 超 


二 让 下 全 BIZ 9 DA ”一生 由 二 用 局限 ， 扣 有 全 大 电子 商务 管理 特工 具 ， 并 内 四 的 
4 入。 内容 管理 系统 。 适用 于 各 半 直 销 /分 勿 电子 商务 运营 的 传统 生产 企业 和 销售 /贸易 
SE 型 公司 进行 专业 电子 商务 网 站 构建 。( 了 解 详情 
政府 网 站 管理 系统 Bizldeaw 子 系统 
， Bbldea 商品 管理 系统 ，Eizldea 订单 管理 系统 ， Bizldea 进 销 存 管理 系统 
学 校 网 站 管理 系统 
> Beldea 客户 关系 管理 系统 Bizldea 客服 服务 管理 系统 ，Bizldea 人 才 招聘 管理 系统 
站 群 管理 系统 。“ ”BkIdea 内 容 管理 系统 ”Bizldea 问答 系 较 》Bizldea 博客 系统 
， Bldea 推广 系统 ，Bildea 三 告 管理 系统 ， Bildea 问卷 调查 系统 
， Beldea 访问 统计 系统 ，Bizrdea 会 员 管理 系统 ，Blzldea WAP 管 理 系统 


图 6-48 ”Bizldea 子 系统 


BizIdea 企业 版 后 台 管 理 页 面 如 图 6-49 所 示 。 
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图 6-49 ”Bizldea 企业 版 后 台 管理 页 面 
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6.5.3 企业 管理 系统 


企业 管理 系统 工程 是 目前 信息 技术 中 的 一 个 大 类 。 它 以 企业 管理 需求 为 基础 ,以 信息 
技术 为 支撑 ,为 企业 提供 数据 信息 的 综合 管理 办 法 ,包括 ERP、.CRM、HR、PM、KM、OA 等 
内 容 。 目 前 常用 的 业务 管理 软件 有 SAP、 用 友 金蝶、 速达 .管家婆 等 。 

企业 管理 系统 能 够 帮助 企业 实现 办 公 自 动 化 、 程 序 化 ,能 够 对 信息 进行 集中 管理 ,一 般 
管理 软件 都 是 进 销 存 、 财 务 .ERP 等 模式 。 高 级 的 企业 管理 软件 是 企业 咨询 顾问 形式 的 企 
业 管 理 软件 ,包括 工作 分 析 、 绩 效 考核 .薪酬 设计 、 招 聘 系统 .员工 培训 生涯 规划 的 制度 与 方 
法 ,能 激活 企业 内 在 的 运营 能 力 ,达到 利润 倍增 等 效果 。 下 面 将 简单 介绍 可 以 在 网 上 直接 体 
验 的 两 款 软件 。 

1.“ 企 管家 ”软件 

“企管 家 ”是 B/S 和 C/S 双 模 式 的 面向 服务 的 业务 .生产 、 财 务 等 企业 管理 软件 系列 ,能 
全 面 满足 企业 对 总 部 、. 工 厂 、 分 店 、 分 支 仓 库 等 分 散 部 门 实 时 的 统一 的 管理 要 求 。 企 业 人 员 
不 管 身 在 何 地 ,都 可 以 随时 联网 工作 ,业务 数据 能 够 实时 汇总 分 析 , 从 而 确保 管理 层 及 时 洞 
察 经 营 问 题 , 抓 住 稍 纵 即 逝 的 业务 机 会 。 

“企管 家 ”的 主页 面 如 图 6-50 所 示 , 包 括 我 的 工作 、 基 本 设置 .业务 系 统 、 账 务 管理 ,生产 
系统 、 系 统 设置 和 相关 链接 模块 。 详 细 功 能 和 具体 操作 读者 可 登录 网 站 http://www. easy- 
erp. com: 6666/ 免 费 体验 。 


2 


企管 家 ” 
通用 专业 捷 


进入 讨论 交流 区 ww 


图 6-50 “企管 家 ”主页 面 


“企管 家 ”系统 实现 的 主要 功能 如 下 。 

(1) 采购 : 先 付款 再 收 货 、 先 收 货 再 付款 、 采 购 退 货 、 估 价 入 库 、 采 购 费 用 分 配 等 多 种 采 
购 业 务 处 理 。 

(2) 销售 : 先 收 款 再 发 货 、 先 发 货 再 收 款 、 分 期 收 款 、 销 售 退 货 、 销 售 费用 计 入 成 本 等 多 
种 业务 处 理 。 

(3) 库存 : 盘点 、 报 损 报 洲 、 调 拨 、 调 量 、 调 价 、 组 装 拆 秃 等 多 种 库存 变动 处 理 方法 。 

(4) 提供 加 权 平 均 、 个 别 计价 和 先进 先 出 等 4 种 存货 核算 方法 ,能 准确 进行 成 本 核算 。 

(5) 动态 管理 应 收 、 应 付 账 款 ,方便 准确 冲 转 各 种 往来 账 , 可 及 时 掌握 往来 总 账 及 明细 账目 。 

(6) 库存 统计 、 流 量 分 析 、 销 售 分 析 、 采 购 分 析 、 业 绩 分 析 \ 年 度 分 析 等 各 种 分 析 报 表 , 方 
便 决策 。 


(7) 生产 : 任务 、 领 料 、 验 收 等 多 种 业务 处 理 , 自 动 生成 物料 需求 表 。 

2. 速 用 企业 管理 系列 软件 

速 用 企业 管理 系列 软件 包括 采购 管理 .销售 管理 、 财 务 管理 和 仓库 管理 等 系列 功能 , 读 
者 可 登录 网 站 http://www. superuse. com. cn/Product. html 免费 下 载 试 用 。 速 用 进 销 存 
软件 (企业 进 销 存 管理 .财务 管理 一 体 化 解决 方案 ) 的 导航 页 面 如 图 6-51 所 示 。 


速 用 进 销 存 软 件 〔 企 业 进 销 存 管 理 ， 财 务 管理 的 一 体 化 解决 方案 ) 
入 村 和 不 购 管理 。 者 产品 销 管理 全 财务 资金 乱 理 。 二 催 呈 库存 管理 


NU | 人 感 全 弃 S20 
Ye Yay 


图 6-51 速 用 进 销 存 软件 导航 页 面 


(1) 销售 管理 

销售 管理 是 对 产品 或 商品 销售 过 程 的 管理 ,包括 销售 报价 .销售 订货 、 仓 库 发 货 .销售 退 
货 、 销 售 发 票 处 理 、 客 户 服务 管理 .价格 及 折扣 管理 .订单 管理 .销售 统计 报表 、 销 售 分 析 、 信 
用 管理 等 功能 。 销 售 管理 模块 的 功能 是 管理 客户 档案 .销售 线索 .销售 活动 .业务 报告 .统计 
销售 业绩 ,适合 企业 销售 部 门 办 公 和 管理 使 用 ,协助 销售 人 员 快 速 管理 客户 、 销 售 和 业务 的 
重要 数据 。 销 售 管理 的 功能 如 图 6-52 所 示 。 


| 本 连用 进 销 存 - 软件 数据 日 期 范围 : 2010.9.15 至 2010.9-.25 


:| 从 | DD sawissez 璃 wsss| 白 | 


软件 导航 名 称 : 上 下 九 路 新 发 圣 店 名 称 : 名 称 : 上 下 九 跑 新 升 鞋 店 
货款 ; 30180 元 货款 : 货款 ; 16320 元 

当前 日 期 广州 多 款 ; 6000 元 广州 欠 玩 : 广州 容 款 : 3000 元 
BE- 925 >| 


名 称 : 北京 路 云 苛 鞍 店 名 称 : 名 称 : 评 圳 识 云 服饰 店 


货 耿 : 36360 元 货款 : 货 耽 : 26000 元 
广州 多 款 : 7300 元 三 州 从 坎 : 识 圳 闪 球 : 14000 元 


名 称 ; 深圳 好 去 服饰 店 名 称 ; 评 圳 丽 云 服饰 店 名 称 ; 北京 天 岗 时 尚 圣 店 
货款 ; 10260 元 货款 : 19400 元 货款 : S6900 元 
课 圳 欠 款 : 2000 元 评 圳 欠 款 : 3400 元 北京 欠 款 : 18900 元 


名 称 : 北京 天 闺 时 尚 驻 店 
货款 : 45700 元 
北京 从 款 : 10800 元 
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(2) 采购 管理 
采购 管理 是 从 计划 下 达 、 采 购 单 生成 .采购 单 执行 .到 货 接收 检验 入 库 、. 采 购 发 票 的 收 
集 到 采购 结算 的 采购 活动 的 全 过 程 ,对 采购 过 程 中 物流 运动 的 各 个 环节 状态 进行 严密 的 跟 
踪 、 监 督 , 实 现 对 企业 采购 活动 执行 过 程 的 科学 管理 。 采 购 管理 包括 采购 计划 ,订单 管理 及 
发 票 校 验 三 个 组 件 。 采 购 管 理 的 功能 如 图 6-53 所 示 。 
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图 6-53 采购 管理 功能 


(3) 财务 管理 

财务 管理 是 在 一 定 的 整体 目标 下 ,关于 资产 的 购置 (投资 ) .资本 的 融通 (筹资 ): 和 经 营 中 
现金 流量 (营运 资金 ) ,以 及 利润 分 配 的 管理 。 财 务 管理 是 企业 管理 的 一 个 组 成 部 分 , 它 是 根 
据 财经 法 规制 度 ,按照 财务 管理 的 原则 ,组 织 企业 财务 活动 ,处 理财 务 关 系 的 一 项 经 济 管理 
工作 。 财 务 管理 的 功能 如 图 6-54 所 示 。 

(4) 仓库 管理 

仓库 管理 也 叫 仓 储 管理 , 指 的 是 对 仓储 货物 的 收发 .结存 等 活动 的 有 效 控制 ,其 目的 是 
保证 企业 仓储 货物 的 完好 无 损 , 确 保生 产 经 营 活动 的 正常 进行 ,并 在 此 基础 上 对 各 类 货物 的 
变动 状况 进行 分 类 记录 ,以 明确 的 图 表 方式 表达 仓储 货物 在 数量 .品质 方面 的 状况 ,以 及 目 
前 所 在 的 地 理 位 置 部门、 订单 归属 和 仓储 分 散 程度 等 情况 的 综合 管理 形式 。 仓 库 管理 的 功 
能 如 图 6-55 所 示 。 
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6.6 文档 管理 


6.6.1 文档 管理 的 概念 


“文档 ”一 词 原 指 那些 在 计算 机 中 创建 的 电子 文档 或 扫描 成 数字 格式 的 文档 ,现在 文档 
的 意义 已 经 得 到 扩展 ,还 包括 电子 邮件 .传真 .即时 信息 .PowerPoint 演示 、WIKI 和 多 媒体 
等 形式 。 文 档 是 信息 资源 ,文档 管理 是 企业 生产 ,技术 .科研 和 经 营 等 活动 的 真实 记录 和 基 
础 性 工作 。 

文档 作为 与 企业 同步 发 展 的 无 形 资产 ,在 企业 管理 等 各 方面 正 积 极地 发 挥 应 有 的 重要 
作用 。 所 以 ,规范 化 、 科 学 化 的 文档 管理 是 企业 必须 做 好 的 一 项 重要 工作 。 建 立 一 套 适应 本 
企业 业务 特点 、 体 现 企业 规范 化 、 科 学 管理 水 平 的 文档 体系 ,将 为 企业 各 项 综合 业务 ,研究 工 
作 的 开展 创造 必要 条 件 , 对 规避 和 抵御 各 种 风险 起 到 一 定 作 用 。 


6.6.2 企业 文档 管理 系统 


企业 文档 管理 系统 应 用 程序 可 以 用 来 创建 一 个 企业 所 有 文件 的 单一 视图 ,并 提供 工作 
流 工具 ,以 监测 和 控制 修改 ,从 而 使 文件 检索 更 容易 。 在 这 样 的 系统 中 ,所 有 格式 的 文件 都 
要 被 标注 和 索引 ,这 一 点 很 重要 。 因 为 这 样 它们 才能 通过 关键 字 或 全 文 搜 索 快 速 地 被 找到 。 

基于 Web 平台 的 网 络 办 公 系 统 通 常 采 用 B/S 架构 设计 ,将 应 用 服务 集中 于 统一 的 应 
用 服务 器 之 中 。 用 户 无 论 身 处 世界 哪个 地 方 , 只 要 可 以 访问 Internet ,就 可 以 完成 企业 的 日 
常 业务 ,真正 步 和 分 散 经 营 、 集 中 控制 的 商务 管理 模式 。 

文档 管理 系统 是 现代 网 络 办 公 系 统 的 一 部 分 , 它 融合 了 当前 最 流行 的 管理 思想 , 即 对 工 
作 流 、 信 息 流 和 知识 管理 的 规范 管理 和 增值 利用 ,为 用 户 提供 了 一 个 先进 、 高 效 的 信息 化 工 
作 平 台 。 文 档 管理 系统 将 人 从 繁琐 无 序 、 低 端的 工作 中 解放 出 来 处 理 更 有 价值 ,更 重要 的 
事务 ,整体 提高 了 企业 办 事 效 率 和 对 信息 的 可 控 性 ,使 企业 管理 趋 于 完善 ,提高 执行 力 ,最终 
实现 单位 市 场 竞争 力 全 面 提升 的 目标 。 文 档 管 理 系统 主要 有 以 下 作用 。 

1. 整合 企业 资源 

(1) 通过 网 络 技术 将 企业 的 人 力 资源 .客户 资源 .知识 资源 .经 验资 源 、 硬 件 资源 、 制 度 
资源 ,文化 资源 等 集成 在 一 个 平台 上 进行 管理 使 用 。 

(2) 资源 整合 ,实现 各 种 资源 的 互相 促进 和 增值 ,创造 企业 发 展 的 最 优 环境 ,促进 企业 
发 展 。 

(3) 对 人 力 资 源 、 客 户 资源 实现 更 加 有 效 的 控制 和 管理 ,保持 稳定 的 工作 团队 和 客户 

(4) 有 效 积累 企业 优秀 员工 的 知识 技能、 经 验 , 心 得 并 向 所 有 员工 开放 ,使 员工 互相 学 
习 , 快 速 提高 业务 水 平 ,达到 事半功倍 的 效果 。 

(5) 将 企业 的 产品 各 种 办 公用 品 等 硬件 资源 进行 分 类 管理 ,更 加 方便 可靠. 透明 ,发 
挥 它 们 最 大 的 功效 。 

(6) 建立 正规 、 科 学、 开放 的 企业 的 制度 和 文化 ,保持 企业 旺盛 的 生命 力 ,保证 企业 健康 


2. 加 快 信息 流通 

(1) 下 达 的 文件 、 通 知 、 任 务 可 以 在 几 秒 钟 内 同时 传达 到 相关 人 员 ,无 任何 中 间 环 节 。 

(2) 员工 的 意见 和 建议 都 可 以 畅通 无 阻 地 直接 反馈 到 最 高 领导 层 , 便 于 及 时 发 现 问题 、 
改进 过 程 和 发 现 人 才 。 

(3) 即使 是 在 外 地 的 员工 或 分 支 机 构 也 可 以 实时 保持 和 企业 的 沟通 ,保持 紧密 的 联系 。 

(4) 所 有 员工 都 可 以 在 第 一 时 间 知 道 企 业 的 最 新 动态 和 决策 ,更 加 关注 企业 的 发 展 。 

(5) 所 有 员工 都 能 及 时 了 解 企业 产品 的 库存 ,价格 、 销 量 等 信息 ,及 时 调整 工作 。 

(6) 下 属 可 以 在 第 一 时 间 将 工作 进度 和 市 场 信息 反映 给 上 级 领导 ,使 企业 以 快 制胜 。 

(7) 员工 们 能 够 在 网 上 轻松 、 直 接 、 公 平地 发 言 、 交 流 , 建 立 融洽 的 团队 关系 和 企业 
文化 。 

3. 规范 办 公 流 程 

(1) 建立 起 一 个 紧密 、 协 调 , 可 靠 、 简 单 的 管理 机 制 ,让 企业 充满 活力 ,促进 企业 持续 
发 展 。 

(2) 使 员工 责任 明确 ,权限 分 明 , 具 体 事务 落实 到 人 , 查 有 所 依 , 杜 绝 推脱 、 扯 皮 现 象 。 

(3) 企业 的 办 公 流 程 变 得 规范 、 有 序 ,效率 大 大 提高 ,执行 力 大 大 提高 。 

(4) 彻底 消除 信息 传递 中 的 阻塞 、 延 误 、 失 真 , 保 证 正确 、 及 时 的 反应 。 

(5) 领导 层 可 以 清晰 、 准 确 地 了 解 员工 对 某 一 事件 的 倾向 性 以 做 出 正确 的 决策 。 

(6) 离职 员工 无 法 带 走 自己 的 客户 资源 ,避免 人 员 流 动 给 企业 带 来 的 客户 流失 的 风险 。 

(7) 通过 网 络 而 不 是 麻烦 的 电话 来 询问 项 目 进度 ,从 而 节省 大 量 时 间 、 精 力 和 电话 费 。 

(8) 领导 层 可 以 及 时 关注 下 属 的 工作 动态 ,及 时 发 现 问题 ,不 会 因为 疏漏 而 丢掉 重要 的 
订单 或 客户 。 

(9) 员工 们 每 天 都 记录 下 当天 的 工作 内 容 和 心得 ,领导 层 可 以 直接 查看 、 指 导 。 

(10) 企业 可 以 免 去 诸如 打印 ,分 发 . 打 电 话 、 找 人 等 诸多 困扰 ,节约 纸张 、 人 力 等 办 公 成 
本 ,能 够 将 资源 和 精力 .时间 用 于 核心 业务 上 。 

(11) 员工 间 、 员 工 与 领导 之 间 可 以 方便 ,直接 ,充分 地 进行 交流 ,通过 正确 的 手段 而 不 
是 任 个 人 交际 能 力 来 沟通 。 

4. 提高 办 事 效率 

(1) 有 效 协 调 多 部 门 之 间 的 协同 工作 问题 ,实现 高 效 协 作 办 公 。 

(2) 信息 流通 速度 成 倍 提高 , 带 来 员工 反应 速度 的 成 倍 提高 。 

(3) 可 以 快捷 地 同时 给 大 量 客户 发 送 手机 短信 ,保持 密切 、 融 治 、 稳 定 的 客户 关系 。 

(4) 领导 层 能 够 方便 地 随时 查看 分 配 过 的 任务 数量 、 领 取 人 及 其 进度 情况 ,跟踪 监督 以 
提高 执行 效率 和 执行 力度 。 

(5) 员工 能 够 清晰 地 查看 到 自己 当前 领取 的 各 项 任务 状态 以 合理 安排 时 间 。 

(6) 员工 之 间 可 以 快捷 地 在 线 发 送 文 件 、 通 知 和 留言 ,不 必 打 电话 甚至 亲自 到 处 找 人 ， 
时 时 沟通 ,节省 时 间 ,提高 效率 。 

(7) 消除 打印 ,复印 ,分 发 等 诸多 中 间 环 节 , 沟 通 点 对 点 ,传递 一 指 通 。 

(8) 随时 随地 都 能 够 在 网 上 快捷 地 查看 各 种 资料 ,并 能 调 阅 和 打印 出 来 ,省 去 了 为 看 一 
份 文件 而 到 处 寻找 浪费 掉 的 大 量 时 间 。 
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6.6.3 企业 文档 管理 系统 的 使 用 

以 绿叶 OA 办 公 系 统 (http://www.oal69. com) 为 例 , 其 主页 面 如 图 6-56 所 示 ,主要 包 
括 办 公 桌 面部 门 主页 文件 传输 ,发送 消 息 .手机 短信 ` 资 源 共享 .内 部 论坛 .通信 录 、 系 统 集 
成 和 视频 演示 等 常用 功能 。 
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图 6-56 绿叶 OA 办 公 系 统 主 页 面 


详细 功能 和 操作 如 左 侧 导航 栏 所 示 ,主要 包括 流程 审批 ,文件 传输 .公文 管理 .公共 信 
息 . 电 子 邮 件 、 数 据 报表 、 手 机 短信 ,计划 总 结 \ 工 作 总 结 、 人 力 资源 ,会 议 管 理 , 车 辆 管理 , 行 
政 管理 和 附件 程序 。 下 面 简 单 介 绍 几 个 功能 。 

1. 流程 审批 

工作 流程 审批 系统 采用 可 视 化 ,组件 化 、 向 导 式 、 节 点 式 流程 配置 引擎 ,支持 电子 签名 、 
手机 提醒 ,方便 企业 快速 扩展 新 的 业务 功能 和 模块 ,适应 业务 的 灵活 多 样 化 需求 ,满足 大 中 
型 集团 企业 内 部 流程 的 建立 ,监控 、 变 更 等 要 求 ,实现 工作 流程 的 自动 化 .标准 化 和 规范 化 。 

(1) 发 起 流程 ,可 新 建 自由 流程 与 固定 流程 : 

。 自由 流程 : 可 自由 设 定 流转 路 径 、 内 容 、 表 单 附件 等 。 

。 固定 流程 : 按照 已 设 定 的 流程 路 径 与 表单 进行 流转 ,并 可 按照 流程 基础 设置 参数 。 

(2) 流程 审批 : 按照 流水 号 .流程 标题 ,状态 .当前 流转 .审批 人 数 、 发 送 人 等 主要 信息 
读 取 所 有 接收 流程 审批 信息 ,对 未 读 流程 加 粗 显示 ,使 审批 用 户 对 流程 概况 有 最 基本 了 人 解 。 
进入 流程 审批 ,提交 审批 结果 与 内 容 , 流 程 将 进入 下 一 流程 节点 用 户 。 同 时 ,提交 审批 结果 、 
编辑 批注 流程 表单 附件 ,可 发 送 消息 与 手机 短信 提醒 发 起 人 与 下 一 审批 人 ; 支持 流程 删除 、 
查询 .催办 管理 ,支持 附件 收藏 转发. 下载 等 ,支持 流程 表单 附件 的 电子 签名 、 手 写 批注 、 电 
子 印章 痕迹 保 留 、 防 止 文档 自 改 `U 盾 签名 安全 应 用 。 

(3) 流程 监控 管理 : 按照 流水 号 .流程 标题 ,状态 、 当 前 流转 、 审 批 人 数 等 主要 信息 读 取 


所 有 已 发 送 流程 审批 信息 ,对 流程 审批 人 未 读 流程 加 粗 显示 。 可 修改 流程 标题 ,内 容 、 表 单 
附件 ,增加 与 删除 表单 附件 ; 修改 流转 顺序 ,强制 设 定 某 节点 为 当前 流转 或 终止 当前 流转 ， 
可 增加 与 删除 节点 ,完成 委托 、 转 办 等 任务 指令 。 同 时 ,支持 流程 删除 与 查询 。 支 持 流程 表 
单 附件 的 电子 签名 .手写 批注 .电子 印章 痕迹 保留 .防止 文档 自 改 `U 盾 签 名 安全 应 用 。 支 
持 流 程 设 计 图 形 显示 管理 。 

(4) 权限 与 其 他 : 流程 发 起 、 审 批 , 监 控 管 理 \ 模 板 、 类 别 、 选 项 等 操作 可 由 管理 员 在 后 
人 台 进 行 授 权 管 理 。 类 别 设置 管理 可 以 根据 单位 实际 情况 建立 流程 模板 类 别 ,包括 行政 .人 
事 、 财 务 、 营 销 等 。 选 项 设置 中 的 “节点 审批 后 ,该 节点 是 否 可 修改 审批 结果 与 内 容 ” 决 定 在 
用 户 提 交 审 批 结果 后 是 否 可 进行 审批 结果 修改 ;“ 发 起 固定 流程 ,是 否 可 以 管理 内 容 与 表单 
附件 ”决定 设置 发 起 固定 流程 时 ,是 否 可 以 修改 即将 发 起 流程 的 内 容 或 者 添加 或 修改 表单 附 
件 ,最 大 程度 地 满足 用 户 对 流程 模板 的 需要 。 

2. 文件 传输 

(1) 文件 传输 : 支持 点 对 点 、 点 对 多 集群 批量 高 速 传输 大 小 文件 ,提供 直接 传输 给 自己 
的 方式 ; 支持 发 送 文件 的 同时 增加 文件 备注 说 明 与 整合 短信 系统 的 功能 ,支持 文件 回执 与 
小 秘书 提醒 服务 。 

(2) 文件 传输 记录 : 报告 文件 是 否 阅读 ,记录 接收 人 阅读 下 载 记录 ,包括 时 间 、IP 等 信 
息 ; 支持 已 发 文件 下 载 与 继续 发 送 ,追踪 已 发 文件 接收 对 象 的 所 有 回复 ,提供 对 已 发 文件 进 
行 备注 说 明 的 功能 。 

(3) 文件 接收 : 进入 文件 接收 系统 ,可 对 文件 进行 在 线 阅 读 、 下 载 转发. 回复、 删除 等 ， 
对 来 自 集 群 接收 的 文件 ,系统 会 自动 显示 接收 对 象 ,以 提醒 用 户 可 区 别 性 转发 文件 ,避免 重 
复发 送 。 支 持 对 接收 文件 进行 按照 部 门 分 类 与 自助 类 别管 理 与 分 类 ,便于 查阅 与 管理 ; 支 
持 已 发 送 文 件 和 接收 文件 查询 检索 服务 。 此 外 ,对 接收 到 的 文件 提供 即时 提醒 ,包括 语音 、 
文字 、\ 小 窗口 ` 短 消息 提醒 等 功能 。 主 页 面 如 图 6-57 所 示 。 
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图 6-57 文件 接收 页 面 
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3. 公文 管理 

(1) 公文 发 送 : 公文 审批 支持 流程 自 定义 ,支持 一 对 一 ,一 对 多 个 人 与 部 门 发 送 及 群发 
公文 ,支持 Word .Excel、PowerPoint、WPS 文件 可 编辑 人 员 选 择 与 批量 大 文件 上 传 、 手 机 短 
信和 提醒 的 功能 。 

(2) 公文 接收 : 可 在 线 阅读 .下 载 公 文 附件 与 公文 部 门 分 类 ,可 进行 意见 批注 与 提供 痕 
迹 保留 .电子 印章 、 键 盘 批注 ,保护 文档 不 被 自 改 ; 可 对 签 阅 意 见 进 行 修 改 与 删除 ,实时 查看 
公文 批示 意见 。 公 文 整合 短信 系统 ,提供 公文 回执 与 小 秘书 即时 提醒 服务 与 公文 催办 。 支 
持 接收 公文 查询 功能 。 

(3) 公文 发 送 记 录 : 发 送 人 可 查看 与 删除 发 送 记录 ,系统 自动 对 公文 阅读 下 载 状况 进 
行 统计 ,包括 阅读 人 姓名 、 部 门 、 时 间 、IP 等 ,编辑 修改 Word、Excel、PowerPoint、WPS 公 
文 ; 支持 已 发 公文 查询 功能 。 

4. 公共 信息 

公共 信息 功能 提供 企业 内 部 信息 共享 上 传 下 载 通道 ,用 户 可 对 需要 共享 的 文件 .图 片 、 
动画 、 视 频 、 音 乐 等 按照 类 别 进行 快速 上 传 ,管理 员 可 在 后 台 进 行 类 别管 理 , 建 立 一 套 单位 内 
部 共享 体系 。 同 时 支持 分 布 式 跨 服 务 器 跨 站 点 数据 文件 共享 。 进 入 共享 区 后 可 在 线 浏 览 与 
下 载 文 件 ,并 支持 收藏 与 转发 。 支 持 实时 共享 开关 、 删 除 等 。 同 时 提供 共享 文件 的 快速 分 类 
与 查询 服务 。 其 中 ,共享 下 载 的 页 面 如 图 6-58 所 示 。 
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图 6-58 共享 下 载 页 面 


5. 电子 邮件 

电子 邮件 功能 包括 内 外 网 邮件 .手机 WAP 邮件 服务 。 内 网 邮件 与 短信 系统 集成 ,外 网 
邮件 支持 Internet 邮件 发 送 、 接 收 ` 回 复 等 。 用 户 与 管理 员 可 自由 配置 邮件 SMTP 与 POP3 
信息 ,用 户 个 人 配置 信息 将 只 对 其 个 人 收发 邮件 产生 作用 ,管理 员 进 行 的 邮件 配置 将 对 全 局 
用 户 产 生效 力 , 但 与 用 户 个 人 的 邮件 配置 同步 存在 与 互相 保护 。 系 统 内 和 WAP 手机 邮件 
程序 ,可 在 IIS 中 配置 WAP 服务 器 (无 须 通 信服 务 商 提供 支持 ) ,系统 将 自动 接收 到 来 自 手 


机 传输 的 邮件 数据 。 

6. 手机 短信 

手机 短信 功能 支持 移动 联通、 小 灵通 短信 收发 ,主要 实现 形式 包括 短信 发 送 与 群发 , 系 
统 各 种 消息 短信 提醒 与 信息 回执 ,密码 与 手机 绑 定 ,手机 信息 可 存储 于 OA 数据 库 中 。 系 统 
记录 每 条 短信 发 送 状 态 ,返回 短信 服务 器 物理 发 送信 息 , 便 于 追踪 ,查看 短信 发 送 质量 与 效 
果 , 后 台 管 理 员 可 实时 管理 短信 账户 ,短信 数据 管理 .查询 等 。 基 于 组 件 技 术 ,无须 硬件 
Modem 设备 与 联系 通信 服务 商 , 只 需 进 行 账户 充值 使 用 。 可 应 用 于 商业 信息 发 布 .客户 关 
系 管理 ,呼叫 中 心 , 订 票 与 信息 查询 ,移动 办 公 、 短 信 互 动 平台 等 。 

7. 计划 总 结 

计划 总 结 功能 支持 在 线 撰写 工作 计划 ,提供 浏览 修改 、 删 除 、 实 时 开关 等 管理 操作 。 按 
照 权限 不 同 , 上 级 部 门 可 浏览 下 属 工作 总 结 , 并 提供 工作 计划 列表 与 数据 分 类 查询 服务 。 其 
中 “日 程 安排 "页面 如 图 6-59 所 示 。 
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8. 工作 总 结 


工作 总 结 功能 支持 月 总 结 、 季 度 总 结 、 年 度 总 结 。 表 单项 目 包 括 月 份 、 季 度 、 年 度 工作 ， 
常规 工作 ,下 一 步 工 作 计划 ,创新 ,问题 反 馈 、 意 见 与 建议 。 可 实现 浏览 修改 、 删 除 、 开 关 等 
操作 。 按 照 权 限 不 同 , 上 级 部 门 可 浏览 下 属 工作 总 结 ,提供 按 年 、 月 、 季 度 、 部 门 综合 查询 数 
据 与 部 门 工 作 总 结 分 类 。 

9， 人力 资源 

人 力 资源 功能 主要 包括 人 事 档案 管理 与 查询 .简历 合同 附件 上 传 . 照 片 管理 .权限 分 配 、 
数据 导出 .打印 等 功能 。 同 时 可 对 用 户 简历 .合同 .电子 照片 进行 实时 更 新 、 下载、 转发 、 收 
藏 ,支持 多 幅 照 片上 传 与 存储 应 用 。 其 中 “请 假 管理 ”页 面 如 图 6-60 所 示 。 
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6-60 “请 假 管理 "页 面 


6.7 本 章 小 结 


本 章 主要 介绍 了 日 常 运 维 与 管理 的 知识 和 操作 ,重点 应 理解 和 掌握 日 常 网络 、 业 务 运 维 
与 管理 的 理论 基础 和 基本 操作 的 方法 和 技能 。 

本 章 首先 介绍 了 企业 网 站 的 特点 以 及 后 台 管 理 的 基本 操作 ; 然后 介绍 了 网 络 布线 的 基 
本 知识 和 布线 子 系统 设计 与 施工 的 技术 与 管理 ; 接着 介绍 了 SQL 数据 库 的 管理 、 物 理 及 逻 
辑 资源 管理 ,以 及 业务 管理 的 知识 和 基本 操作 方法 ; 最 后 介绍 了 企业 文档 管理 系统 。 

作为 网 络 管理 员 ,除了 掌握 网 络 管理 的 技术 以 外 ,还 要 理解 和 掌握 企 事业 单位 的 基本 业 
务 , 业 务 管 理 是 网 络 管理 的 重要 组 成 部 分 。 对 大 中 型 企业 来 说 ,基本 网 络 管理 系统 与 综合 
务 管理 系统 的 有 机 结合 是 至 关 重 要 的 。 


习 题 6 


一 、 选 择 题 
1. 一 个 完整 的 企业 网 站 ,无 论 多 么 复杂 或 多 么 简单 ,都 含有 4 个 要 素 , 下 列 选 项 中 哪个 


不 属于 企业 网 站 的 要 素 ( 3 
A. 结构 B. 内 容 C. 服务 D. 信息 
2. SQL Server 代理 服务 由 ( )3 个 部 分 组 成 。 
A. 管理 者 B. 作业 C. 警报 D. 操作 员 


3. 电子 政务 应 用 主要 包括 ( 。 “_) 之 间 3 个 方面 。 
A. 政府 与 政府 B. 政府 与 企业 C. 政府 与 公民 D. 政府 与 军队 
4. 企业 管理 系统 能 够 帮助 企业 实现 办 公 自 动 化 ,程序 化 ,以 及 对 信息 集中 管理 。 一 般 
管理 软件 都 是 ( 。”) ,ERP 等 模式 。 
A. 进 销 存 B. 财务 C. 统计 D. 分 析 


二 、 简 答题 


oo 中 上 上 oo 


网 


网 


. 企业 网 站 的 特征 是 什么 ? 

. 简 述 企业 网 站 的 功能 。 

. 影响 企业 网 站 可 信和 度 的 因素 有 哪些? 

. 简 述 网 站 管理 的 内 容 。 

. 在 综合 布线 系统 中 如 何 计算 配件 和 电缆 的 长 度 ? 


络 工 程 验收 的 项 目 有 哪些 ? 
络 物理 资源 和 逻辑 资源 包括 哪些 内 容 ? 


. 电子 政务 管理 ,电子 商务 管理 .企业 管理 的 内 容 分 别 是 什么 ? 


信息 安全 管理 


中 
需 


7.1 信息 安全 管理 概述 


7.1.1 信息 安全 的 概念 


1. 信息 安全 

信息 安全 是 指 信息 网 络 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 .更改 .泄露 ,系统 能 够 连续 .可靠 .正常 地 运行 ,信息 服务 不 中 断 。 

信息 作为 一 种 资源 , 它 的 普遍 性 ,共享 性 .增值 性 、. 可 处 理性 和 多 效用 性 ,使 其 对 于 人 类 
具有 特别 重要 的 意义 。 信 息 安 全 的 实质 就 是 要 保护 信息 系统 或 信息 网 络 中 的 信息 资源 免 受 
各 种 类 型 的 威胁 ,干扰 和 破坏 , 即 保证 信息 的 安全 性 。 

2. 安全 威胁 的 类 型 和 来 源 

安全 威胁 是 指 对 信息 安全 的 一 种 潜在 的 侵害 ,威胁 的 实施 称 为 攻击 。 一 般 认 为 ,目前 网 
络 信息 安全 面临 的 威胁 主要 表现 在 信息 泄露 .拒绝 服务 .信息 破坏 三 大 类 。 

(1) 信息 泄露 : 指 敏感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 , 它 通常 包括 信息 在 传 
输 中 丢失 或 泄露 .信息 在 存储 介质 中 丢失 或 泄漏 .通过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

(2) 信息 破坏 : 以 非法 手段 窃 得 对 数据 的 使 用 权 , 删 除 \ 修 改 、 插 入 或 重 发 某 些 重 要 信 
息 ,以 取得 有 益 于 攻击 者 的 响应 ; 恶意 添加 、 修 改 数据 ,以 干扰 用 户 的 正常 使 用 。 

(3) 拒绝 服务 : 不 断 对 网 络 服务 系统 进行 干扰 ,改变 其 正常 的 作业 流程 ,执行 无 关 程 
序 , 使 系统 响应 减 慢 甚至 瘫痪 ,影响 正常 用 户 的 使 用 ,甚至 使 合法 用 户 被 排斥 而 不 能 进入 计 
算 机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

信息 安全 的 威胁 可 能 来 自 各 个 方面 ,影响 .危害 网 络 信息 安全 的 因素 分 为 自然 因素 和 人 
为 两 类 。 

(1) 自然 因素 包括 : 各 种 自然 灾害 ,如 水 、 火 、 雷 、 电 、 风 暴 、 烟 侍 、 虫 害 、 鼠 害 、 海 哺 和 
地 震 等 ; 四 系统 的 环境 和 场地 条 件 , 如 温度 ,湿度 .电源 、 地 线 和 其 他 防护 设施 不 良 造 成 的 威 
胁 ; @ 电 磁 辐 射 和 电磁 干扰 的 威胁 ; @ 硬 件 设备 自然 老化 ; 加 可 靠 性 下 降 的 威胁 等 。 

(2) 人 为 因素 又 有 无 意 和 故意 之 分 。 无 目的 事件 包括 操作 失误 、 意 外 损失 编程 缺陷 、 
意外 丢失 ,管理 不 善 、 无 意 破坏 等 ; 人 为 故意 的 破坏 包括 敌对 势力 、 各 种 计算 机 犯罪 等 。 

3. 信息 安全 的 特征 

根据 国际 标准 化 组 织 的 定义 ,信息 安全 性 的 含义 主要 是 指 信息 的 完整 性 .可 用 性、 保密 
性 和 可 靠 性 。 信 息 安 全 是 任何 国家 、 政 府 .部门 .行业 都 必须 十 分 重视 的 问题 ,是 一 个 不 容 忽 


视 的 国家 安全 战略 。 信 息 安 全 的 主要 特征 如 下 。 
。 保密 性 : 保证 信息 只 让 合法 用 户 访问 ,信息 系统 不 被 非 授 权 使 用 ,信息 不 泄露 给 非 
授权 的 个 人 和 实体 。 
。 完整 性 : 保障 信息 及 其 处 理 方法 的 准确 性 、 完 全 性 ; 信息 在 存储 或 传输 过 程 中 保持 
不 被 修改 ,不 被 破坏 和 不 丢失 的 特性 。 信 息 完 整 性 是 网 络 信息 安全 的 基本 要 求 , 破 
坏 信 息 的 完整 性 是 影响 网 络 信息 安全 的 常用 手段 。 
。 可用性: 保证 合法 用 户 在 需要 时 可 以 访问 到 信息 及 相关 资源 ,计算 机 系统 可 被 合法 
用 户 访问 并 按 要 求 的 特性 使 用 , 即 当 需要 时 能 存 取 所 需 信 息 。 
信息 安全 可 通过 一 套 包 括 政策 ,行为 规范 流程 .组 织 结构 和 软件 等 管制 手段 ,来 确保 具 
体 安 全 目标 的 实现 。 


7.1.2 信息 系统 安全 管理 的 概念 


1. 信息 系统 安全 管理 

信息 系统 安全 管理 是 一 个 过 程 ,用 于 维持 信息 系统 的 机 密 性 ,完整 性 、 可 用 性 在 一 个 适 
当 的 、 可 接受 的 水 平 。 信 息 系统 安全 管理 是 对 一 个 信息 系统 的 生命 周期 全 过 程 实施 符合 安 
全 等 级 责任 要 求 的 科学 管理 , 它 包 括 落实 安全 组 织 及 安全 管理 人 员 , 明 确 角 色 与 职责 ,制定 
安全 规划 ,开发 安全 策略 ,实施 风险 管理 ,制定 业务 持续 性 计划 和 灾难 恢复 计划 ,选择 与 实施 
安全 措施 ,保证 配置 、 变 更 的 正确 与 安全 ,进行 安全 审计 ,保证 维护 支持 ,监控 \ 检 查 、 处 理 安 
全 事件 ,安全 意识 与 安全 教育 ,人 员 安 全 管理 等 。 

2. 信息 安全 管理 的 目标 

。 真实 性 : 对 信息 的 来 源 进 行 判断 ,能 对 伪造 来 源 的 信息 予以 鉴别 。 

。 保密 性 : 保证 机 密 信息 不 被 窃听 ,或 窍 听 者 不 能 了 解 被 窃 信息 的 真实 含义 。 

。 完整 性 : 保证 数据 的 一 致 性 ,防止 数据 被 非法 用 户 自 改 。 

。 可 用 性 : 保证 合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 正当 地 拒绝 。 

。 不 可 抵赖 性 : 建立 有 效 的 责任 机 制 , 防 止 用 户 否 认 其 行为 。 

。 可 控制 性 : 对 信息 的 传播 及 内 容 具有 控制 能 力 。 

。 可 审查 性 : 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 

3. 信息 安全 管理 的 重要 性 

信息 和 信息 支持 程序 .系统 及 网 络 是 重要 的 经 营 资源 。 信 息 的 保密 性 .完整 性 和 可 得 性 
对 维持 企业 的 竞争 优势 .现金 流动 .赢利 性 、 合 法 性 和 商业 形象 至 关 重 要 。 

但 目前 的 企业 及 其 信息 系统 和 网 络 正面 临 着 来 自 各 方面 的 越 来 越 多 的 安全 威胁 ,企业 
在 安全 威胁 面前 也 越 来 越 脆弱 ,许多 信息 系统 本 身 的 设计 也 不 安全 ,通过 技术 手段 达到 的 安 
全 是 很 有 限 的 ,因此 信息 安全 管理 具有 特别 重要 的 意义 。 

一 切 的 安全 问题 ,归根 结 底 是 管理 的 问题 。 管 理 问题 主要 表现 在 两 个 方面 : 一 是 领导 
者 不 重视 ,二 是 员工 缺乏 安全 意识 。 领 导 者 不 重视 的 原因 ,可 能 是 因为 对 信息 安全 的 认识 不 
足 ,没有 认真 考虑 过 一 旦 出 了 重大 信息 安全 事故 ,会 给 企业 造成 多 么 惨重 的 损失 ; 或 有 些 企 
业 的 领导 者 对 信息 安全 管理 这 类 没有 明显 效益 的 投资 不 感 兴趣 。 如 果 企 业 的 领导 者 都 不 重 
视 信息 安全 问题 ,那么 讨论 信息 安全 管理 就 变 得 毫 无 意义 了 。 企 业 对 员工 缺乏 足够 的 .持续 
的 信息 安全 教育 和 培训 ,导致 员工 没有 足够 的 安全 意识 , 带 来 的 危害 是 巨大 的 ,如 果 企 业 的 
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员工 普遍 缺乏 安全 意识 ,只 赁 网 络 管理 员 ,信息 安全 管理 员 ,企业 信息 安全 的 获得 根本 是 不 
现实 的 。 

4. 安全 措施 

1) 计算 机 网 络 安全 措施 

计算 机 网 络 安全 措施 主要 包括 保护 网 络 安全 、 保 护 应 用 安全 和 保护 系统 安全 三 个 方面 。 

(1) 保护 网 络 安全 

网 络 安全 是 为 了 保护 应 用 各 方 网 络 终端 系统 之 间 通 信 过 程 的 安全 性 。 保 证 机 密 性 、 完 
整 性 、 认 证 性 和 访问 控制 性 是 网 络 安全 的 重要 因素 。 保 护 网 络 安全 的 主要 措施 如 下 : 

。 全 面 规划 网 络 平台 的 安全 策略 。 

。 制定 网 络 安全 的 管理 措施 。 

。 使 用 防火 墙 等 访问 控制 措施 。 

。 尽 可 能 记录 网 络 上 的 一 切 活动 。 

。 注意 对 网 络 设备 的 物理 保护 。 

。 检验 网 络 平台 系统 的 脆弱 性 。 

。 建立 可 靠 的 识别 和 鉴别 机 制 。 

(2) 保护 应 用 安全 

保护 应 用 安全 ,主要 是 针对 特定 应 用 所 建立 的 安全 防护 措施 , 它 独 立 于 网 络 的 任何 其 他 
安全 防护 措施 。 虽 然 有 些 防护 措施 可 能 是 网 络 安全 业务 的 一 种 替代 或 重 琶 ,如 Web 浏览 器 
和 Web 服务 器 在 应 用 层 上 对 网 络 支付 结算 信息 包 的 加 密 都 通过 IP 层 加 密 , 但 是 许多 应 用 
还 有 自己 的 特定 安全 要 求 。 

虽然 网 络 层 上 的 安全 仍 有 其 特定 地 位 ,但 是 人 们 不 能 完全 依靠 它 来 解决 业务 应 用 的 安 
全 性 。 由 于 业务 应 用 中 的 应 用 层 对 安全 的 要 求 最 严格 .最 复杂 ,因此 更 倾向 于 在 应 用 层 而 不 
是 在 网 络 层 采取 各 种 安全 措施 。 应 用 层 上 的 安全 业务 可 以 涉及 认证 ,访问 控制 ,机密 性 、 数 
据 完整 性 ,不 可 否认 性 、Web 安全 性 、.EDI 和 网 络 支付 等 应 用 的 安全 性 。 

(3) 保护 系统 安全 

保护 系统 安全 ,是 指 从 整体 电子 商务 系统 或 网 络 支 付 系 统 的 角度 进行 安全 防护 , 它 与 网 
络 系统 硬件 平台 、 操 作 系统 .各 种 应 用 软件 等 互相 关联 ,涉及 网 络 支付 结算 的 系统 安全 ,包含 
下 述 一 些 措施 ， 

。 在 安装 的 软件 中 ,检查 和 确认 未 知 的 安全 漏洞 。 

。 技术 与 管理 相 结合 ,使 系统 具有 最 小 穿 透风 险 性 。 

。 建立 详细 的 安全 审计 日 志 , 以 便 检 测 并 跟踪 入 侵 攻 击 等 。 

2) 商务 交易 安全 措施 

商务 交易 安全 则 紧 紧 围绕 传统 商务 在 互联 网 络 上 应 用 时 产生 的 各 种 安全 问题 ,在 计算 
机 网 络 安全 的 基础 上 ,重点 关注 如 何 保障 电子 商务 过 程 的 顺利 进行 。 各 种 商务 交易 安全 服 
务 都 是 通过 安全 技术 来 实现 的 ,主要 包括 加 密 技 术 、 认 证 技术 和 电子 商务 安全 协议 等 。 

(1) 加 密 技 术 

加 密 技术 是 电子 商务 采取 的 基本 安全 措施 ,交易 双方 可 根据 需要 在 信息 交换 阶段 使 用 。 
加 密 技术 分 为 两 类 , 即 对 称 加 密 和 非 对 称 加 密 。 

对 称 加 密 又 称 私 钥 加 密 , 即 信息 的 发 送 方 和 接收 方 用 同一 个 密 钥 去 加 密 和 解密 数据 。 


它 的 最 大 优势 是 加 /解密 速度 快 , 适 合 于 对 大 数据 量 进 行 加 密 , 但 密 钥 管理 困难 。 如 果 通 信 
双方 能 够 确保 密 钥 交换 的 安全 性 ,那么 就 可 以 使 用 这 种 加 密 方法 。 

非 对 称 加 密 又 称 公 钥 加 密 ,使 用 一 对 密 钥 来 分 别 完 成 加 密 和 解密 操作 ,其 中 一 个 公开 发 
布 ( 即 公 钥 ) , 另 一 个 由 用 户 自己 秘密 保存 ( 即 私 钥 )。 信 息 交 换 的 过 程 是 : 甲 方 生成 一 对 密 
钥 并 将 其 中 的 一 把 作为 公 钥 向 其 他 交易 方 公开 ,得 到 该 公 钥 的 乙方 使 用 该 密 钥 对 信息 进行 
加 密 后 再 发 送 给 甲 方 , 甲 方 再 用 自己 保存 的 私 钥 对 加 密 信息 进行 解密 。 

(2) 认证 技术 

认证 技术 是 用 电子 手段 证 明 发 送 者 和 接收 者 的 身份 及 其 文件 完整 性 的 技术 , 即 确认 双 
方 的 身份 信息 在 传送 或 存储 过 程 中 未 被 算 改 。 目 前 常用 的 认证 技术 有 数字 签名 和 数字 证 书 
两 种 。 

数字 签名 能 起 到 电子 文件 认证 ,核准 和 生效 的 作用 。 如 图 7-1 所 示 , 其 实现 方式 是 把 散 
列 函 数 (Hash 函数 ) 和 公 钥 加 密 算法 结合 起 来 ,发 送 方 从 报 文 文本 中 生成 一 个 散 列 值 (数字 
摘要 ), 并 用 自己 的 私 钥 对 这 个 散 列 值 进行 加 密 , 形 成 发 送 方 的 数字 签名 ; 然后 ,将 这 个 数字 
签名 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 ; 报 文 的 接收 方 首先 从 接收 到 的 原始 
报 文 中 计算 出 散 列 值 ,接着 再 用 发 送 方 的 公 钥 来 对 报 文 附 加 的 数字 签名 进行 解密 ; 如 果 这 
两 个 散 列 值 相同 ,那么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 数 字 签 名 机 制 提供 了 一 种 
鉴别 方法 ,以 解决 伪造 .抵赖 .冒充 、 筑 改 等 问题 。 
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数字 证 书 是 一 个 经 证 书 授权 中 心 数 字 签 名 的 包含 公 钥 拥有 者 信息 以 及 公 钥 的 文件 。 数 
字 证 书 的 主要 构成 包括 一 个 用 户 公 钥 、 密 钥 所 有 者 的 身份 标识 符 , 以 及 被 信任 的 第 三 方 签 
名 ,第 三 方 一 般 是 用 户 信 任 的 证 书 权 威 机 构 (Certificate Authority, CA)。 用 户 以 安全 的 方 
式 向 公 钥 证 书 权 威 机 构 提 交 他 的 公 钥 并 得 到 证 书 , 然 后 用 户 就 可 以 公开 这 个 证 书 。 任何 需 
要 用 户 公 钥 的 人 都 可 以 得 到 此 证 书 ,并 通过 相关 的 信任 签名 来 验证 公 钥 的 有 效 性 。 数 字 证 
书 通过 标志 交易 各 方 身份 信息 的 一 系列 数据 ,提供 了 一 种 验证 各 自身 份 的 方式 ,用 户 可 以 用 
它 来 识别 对 方 的 身份 。 

(3) 电子 商务 安全 协议 

电子 商务 的 运行 还 有 一 套 完整 的 安全 协议 ,目前 ,比较 成 熟 的 协议 有 SET、SSL 等 。 

安全 电子 交易 协议 (Secure Electronic Transaction,SET) 是 专 为 电子 商务 系统 设计 的 ， 
它 位 于 应 用 层 ,其 认证 体系 十 分 完善 ,能 实现 多 方 认 证 。 在 SET 的 实现 中 ,消费 者 账户 信息 
对 商家 来 说 是 保密 的 ,但 是 SET 协议 十 分 复杂 ,交易 数据 需 进行 多 次 验证 ,用 到 多 个 密 钥 以 
及 多 次 加 密 解 密 ,而 且 在 SET 协议 中 除 消费 者 与 商家 外 ,还 有 发 卡 银行 、 收 单 银行 .认证 中 
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心 支 付 网 关 等 其 他 介入 者 ,如 图 7-2 所 示 为 SET 交易 模式 原理 图 。 
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图 7-2 SET 交易 模式 原理 图 


SET 协议 用 于 划分 与 界定 电子 商务 流动 中 消费 者 ,网 上 商家 、 交 易 双 方 银行 、 信 用 卡 组 
织 之 间 的 权利 义务 关系 ,给 定 交易 信息 传送 流程 尺度 。SET 主要 由 三 个 文件 组 成 ,分 别 是 
SET 业务 描述 .SET 程序 员 指 南 和 SET 协议 描述 。SET 协议 保证 了 电子 商务 系统 中 支付 
信息 的 保密 性 .支付 过 程 的 完整 性 商户 及 持 卡 人 身份 的 合法 性 ,以 及 业务 流程 的 可 操作 性 。 

安全 套 接 层 (Secure Sockets Layer,SSL) 协 议 位 于 传输 层 和 应 用 层 之 间 , 由 SSL 记 实 
协议 .SSL 握手 协议 和 SSL 警报 协议 组 成 。SSL 握手 协议 被 用 来 在 客户 与 服务 器 真正 传输 
应 用 层 数据 之 前 建立 安全 机 制 。 当 客户 与 服务 器 第 一 次 通信 时 ,双方 通过 握手 协议 在 版 本 
号 、 密 钥 交 换算 法 .数据 加 密 算 法 和 Hash 算法 上 达成 一 致 ,然后 互相 验证 对 方 身份 ,最 后 使 
用 协商 好 的 密 钥 交 换算 法 产生 一 个 只 有 双方 知道 的 秘密 信息 ,客户 和 服务 器 各 自 根据 此 秘 
密 信息 产生 数据 加 密 算法 和 Hash 算法 参数 。SSL 记 实 协议 根据 SSL 握手 协议 协商 的 参 
数 ,对 应 用 层 送 来 的 数据 进行 加 密 、 压 缩 、 计 算 动 态 鉴 别 码 MAC, 然 后 经 网 络 传输 层 发 送 给 
对 方 。SSL 警报 协议 用 来 在 客户 和 服务 器 之 间 传 递 SSL 差错 信息 。 


7.2 使 用 环境 的 信息 安全 管理 


7.2.1 信息 安全 区 


任何 机 构 关键 或 敏感 的 信息 处 理 设备 应 放置 在 安全 的 区 域 ,由 安全 防御 带 , 适 当 的 安全 
屏障 和 准 人 管制 手段 加 以 保护 ,以 防 其 被 非法 进入 、 毁 坏 或 干扰 。 

1. 信息 安全 区 设置 

信息 安全 区 可 为 上 锁 的 办 公 室 或 物理 意义 的 安全 防御 带 内 的 房间 。 选 择 和 设计 安全 区 
时 ,应 考虑 火灾 、 水 灾 、 爆 炸 、 暴 乱 或 其 他 形式 的 自然 或 人 为 灾害 所 造成 的 损坏 的 可 能 性 。 同 
时 也 要 考虑 来 自 邻 近 场 所 的 安全 威胁 等 因素 。 根 据 需 要 对 信息 交接 区 进行 隔离 和 管制 ,只 
允许 经 过 授权 且 已 辩 明 身份 的 人 从 楼 外 进入 交接 区 。 


信息 安全 区 所 有 的 外 门 和 窗 都 要 安装 合乎 标准 的 入侵 检测 系统 ,并 对 其 进行 定期 检测 。 
无 人 区 特别 要 保持 随时 警戒 ; 信息 安全 区 无 人 时 ,门窗 都 要 上 锁 关 闭 ; 窗户 安装 必要 的 外 
部 保护 设施 。 其 中 关键 设备 的 放置 要 能 够 防止 公众 的 接触 ; 从 物理 上 把 本 单位 管理 的 信息 
处 理 设备 和 第 三 方 管理 的 信息 处 理 设 备 进 行 区 隔 ; 辅助 设备 ,如 复印 机 、 传 真 机 等 ,要 放置 
在 安全 区 内 合适 的 位 置 ,避免 因 外 人 接触 而 导致 的 信息 泄露 ; 危险 或 易 燃 品 保存 到 一 个 离 
安全 区 适当 安全 距离 的 地 方 ; 备用 设备 或 媒体 工具 应 放置 在 离 设 备 稍 远 的 地 方 ,以 防 主场 
地 毁坏 时 同时 被 毁 。 

2. 信息 安全 区 的 实体 区 隔 

有 必要 通过 安全 实体 区 隔 来 保护 信息 储存 处 理 设施 的 区 域 , 由 于 每 个 区 隔 都 可 以 提供 
更 高 的 安全 系数 ,从 而 可 以 增强 总 体 的 安全 水 平 。 需 要 使 用 安全 防御 带 来 保护 放置 信息 处 
理 设备 的 区 域 , 安 全 防御 带 即 指 构成 区 隔 的 东西 ,例如 是 一 面 墙 , 一 道 任 卡片 进入 的 门 ,或 值 
班 的 接待 台 等 。 每 个 实体 区 隔 的 位 置 和 保护 力度 取决 于 风险 评估 的 结果 。 

3. 信息 安全 区 进出 管制 

在 信息 安全 区 要 采取 适当 的 出 人 管制 ,确保 只 有 经 授权 的 人 员 方 可 以 进入 。 建 议 考虑 
如 下 的 管制 措施 : 

(1) 监视 或 禁止 来 信息 安全 区 的 访问 者 。 访 问 者 的 进入 和 离开 资料 及 其 时 间 要 有 记 
录 , 来 访 者 只 有 在 有 明确 经 过 授权 的 任务 时 才 允 许 访问 信息 安全 区 ,并 要 被 告知 信息 安全 区 
内 的 安全 要 求 及 紧急 流程 。 

(2) 对 敏感 信息 和 信息 处 理 设 备 的 通路 进行 管制 ,只 有 经 过 授权 的 人 员 才 可 以 进入 。 
同时 使 用 身份 识别 管制 手段 ,如 刷卡 或 个 人 身份 号 码 等 对 所 有 准 入 进行 授权 或 认证 。 所 有 
进入 都 要 求 有 记录 ,并 加 以 妥当 保存 。 

(3) 对 进入 信息 安全 区 的 权限 要 定期 进行 审核 和 更 新 。 

4. 信息 安全 区 内 工作 守则 

为 进一步 加 强 已 采取 物理 保护 措施 的 信息 安全 区 的 安全 ,应 制定 附加 的 信息 安全 区 内 
工作 守则 。 这 些 包 括 针 对 在 安全 区 工作 的 人 员 或 第 三 方 的 管制 ,也 包括 对 其 活动 的 管制 。 

要 求 相关 人 员 对 信息 安全 区 的 存在 及 其 内 活动 做 到 当知 之 则 知之 ,不 当知 之 则 不 许 知 
之 ,并 能 够 对 信息 安全 区 内 所 有 工作 进行 监视 ; 无 人 安全 区 应 采取 物理 手段 加 以 封闭 ,并 定 
期 查看 ; 第 三 方 人 员 进 入 信息 安全 区 或 接近 敏感 信息 处 理 的 设备 应 受 限制 ,需要 进行 授权 
和 监视 。 安 全 防御 带 内 部 具有 不 同安 全 要 求 的 区 域 之 间 的 通道 要 采取 额外 的 隔离 和 防护 措 
施 ; 除非 授权 ,和 否则 在 信息 安全 区 内 禁止 使 用 摄影 .录像 .录音 或 其 他 记录 仪器 设备 。 


7.2.2 设备 安全 


保护 设备 安全 的 目的 是 防止 资源 的 遗失 损坏、 危害 及 正常 活动 的 中 断 。 设 备 应 从 物理 
上 防止 受到 安全 威胁 或 环境 上 的 破坏 。 有 必要 对 设备 进行 必要 的 保护 ,以 降低 数据 被 非法 
存 取 、 遗 失 或 破坏 的 风险 。 同 时 应 考虑 设备 的 坐落 和 处 置 , 要 求 有 特别 的 管制 手段 来 保护 设 
备 免 于 非法 使 用 ,并 对 诸如 电源 和 电缆 基础 设施 等 辅助 设备 进行 保护 。 

1. 设备 坐落 及 防护 

对 设备 坐落 加 以 保护 ,使 其 免 受 周围 环境 造成 的 威胁 或 损坏 ,并 避免 未 经 授权 的 进入 。 
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的 坐落 要 使 其 在 使 用 时 不 被 遗漏 ; 需要 采取 管制 手段 来 降低 盗窃、 火灾 、 爆 炸 、 水 灾 ,、 化 学 反 
应 .电磁 辐射 等 潜在 威胁 的 风险 ; 对 可 能 影响 信息 处 理 设备 使 用 的 环境 因素 进行 监控 。 

2. 电力 供应 

使 设备 避免 断 电 或 其 他 供电 方面 的 问题 。 供 电 要 符合 设备 制造 商 对 供电 的 规定 和 要 
求 ,保持 供电 不 中 断 的 措施 包括 : 使 用 多 条 供电 线路 以 防 某 条 供电 线路 出 现 故 障 , 使 用 UPS 
以 及 备用 发 电机 等 。 

支持 关键 运营 的 设备 要 特别 考虑 使 用 UPS, 以 保证 其 能 正常 关机 或 持续 运转 。 同 时 ， 
要 制定 UPS 发 生 故 障 时 的 应 急 计 划 。 对 UPS 要 定期 检查 其 储 电 量 ,并 按 制 造 商 的 指导 对 
其 进行 测试 。 如 有 必要 可 以 使 用 备用 发 电机 应 对 长 时 间断 电 的 准备 ,备用 发 电机 应 当 进行 
定期 检测 ,要 储备 充足 的 燃料 ,确保 发 电机 能 随时 长 时 间 地 发 电 。 

3. 传输 设备 安全 性 

传输 数据 、 支 持 信息 服务 的 供电 和 通信 传输 设备 应 当 受 到 保护 ,使 之 免 于 中 断 或 损坏 。 
如 有 可 能 ,信息 处 理 设备 的 线路 最 好 铺设 在 地 下 并 提供 充足 的 备用 保护 措施 ,同时 电源 线 和 
通信 线 要 分 开 铺 设 ,避免 互相 干扰 ; 要 防止 网 络 电缆 被 非法 截断 或 破坏 ,对 敏感 或 关键 设 
备 ,可 考虑 进一步 的 管制 措施 ,如 安装 防护 套 管 .元 余 设 备 和 路 径 、 定 期 检查 和 清除 线 绕 上 的 
非法 挂 置 物 等 。 

4. 设备 的 维护 ,保养 

对 设备 的 维护 应 依据 制造 商 的 指示 或 规定 的 流程 进行 ,保险 条 例 的 所 有 要 求 都 要 遵守 ， 
以 确保 设备 持续 正常 的 工作 状态 。 根 据 供 货 商 建议 的 周期 和 规格 对 设备 进行 定期 维护 ,并 
且 只 有 经 过 授权 的 人 员 方 可 对 设备 进行 检修 和 维护 ; 如 设备 需要 送 到 外 面 维修 ,应 采取 适 
当 的 管制 措施 ; 对 所 有 怀疑 故障 或 实在 故障 及 所 有 的 防范 、 修 正 、 维 护 措施 进行 记录 。 

5. 非 管制 区 的 设备 安全 管理 

无 论 设备 产权 如 何 , 使 用 任何 单位 以 外 的 设备 进行 信息 处 理 都 要 经 单位 领导 批准 。 考 
虑 在 单位 外 进行 信息 处 理 可 能 导致 的 风险 ,在 外 处 理 信 息 所 应 采取 的 防护 措施 在 程度 上 不 
得 亚 于 单位 内 部 的 防护 措施 。 

随时 遵守 制造 商 关于 保护 设备 的 规范 ,在 外 面 以 及 在 家 工作 的 管制 措施 要 经 过 风险 评 
估 后 决定 并 实施 ; 需要 注意 的 是 诸如 盗窃 .损坏 和 遗失 等 安全 风险 在 各 个 地 方 的 程度 是 不 
同 的 ,因此 防护 措施 的 制定 要 因地制宜 。 

6. 设备 报废 或 再 启用 安全 管理 

报废 处 置 时 , 存 有 敏感 信息 的 存储 设备 要 从 物理 上 加 以 销毁 ,或 用 安全 方式 对 信息 加 以 
覆盖 ,而 不 能 采用 常用 的 标准 删除 功能 来 删除 。 

所 有 储存 媒介 在 报废 前 都 要 对 其 进行 检查 ,以 确保 其 内 存储 的 敏感 信息 和 授权 专用 软 
件 已 被 清除 或 覆盖 。 存 有 敏感 数据 的 已 损坏 的 存储 设备 要 对 其 进行 风险 评估 ,以 决定 是 否 
对 其 销毁 、 修 理 或 遗弃 。 


7.2.3 日 党 管制 


通过 日 常 管制 加 以 防范 信息 或 信息 处 理 设备 被 毁坏 或 偷窃 现象 的 发 生 , 防 止 信息 和 信 
息 处 理 设备 被 非法 泄露 ,修改 或 盗用 ,使 损失 或 毁坏 的 风险 降 至 最 低 。 


1. 桌面 及 屏幕 净空 原则 

应 制定 并 执行 桌面 及 屏幕 净空 原则 ,降低 工作 时 间 内 和 工作 时 间 外 的 未 经 授权 存 取信 
息 、 遗 失 或 损坏 信息 的 风险 。 留 在 桌面 上 的 信息 很 易于 被 盗 , 或 在 发 生 水 灾 、 火 灾 、 爆 炸 时 被 
毁坏 。 可 考虑 实行 如 下 原则 : 

在 不 用 时 ,文件 和 计算 机 媒体 最 好 锁 在 柜子 里 或 其 他 形式 的 安全 家 具 中 ; 敏感 或 关键 
信息 在 不 用 时 ,特别 是 办 公 室 无 人 时 ,应 锁 起 来 (最 好 是 锁 在 防火 保险 柜 或 保险 箱 里 ); 个 人 
计算 机 和 终端 及 打印 机 在 无 人 使 用 时 不 得 置 于 上 网 状态 ,并 要 求 有 密码 .密码 锁 或 其 他 的 保 
护 措 施 ; 下 班 后 ,复印 机 要 加 以 保护 ,禁止 非法 使 用 ,敏感 或 机 密 信息 打印 出 来 后 要 马上 从 
打印 机 上 拿 走 。 

2. 设备 资源 撤离 

组 织 所 属 的 设备 .信息 或 软件 等 资源 ,未 经 授权 不 得 私自 撤离 。 同 时 ,要 进行 场地 检查 
以 检测 资源 是 否 存在 被 非法 挪用 的 情况 ,及 时 纠正 违反 规定 的 行为 。 


7.3 数据 存 取 管 理 


根据 业务 和 安全 的 要 求 ,应 当 控制 对 信息 的 访问 和 对 业务 程序 的 访问 。 
7.3.1 用 户 访问 管理 


用 户 访 问 管理 的 目的 是 防止 对 信息 系统 的 未 经 授权 的 访问 。 应 当 由 正规 的 程序 来 控制 
对 信息 系统 和 服务 的 访问 权限 分 配 , 这 些 程序 应 当 覆 盖 用 户 访问 全 过 程 的 所 有 阶段 ,从 用 户 
的 最 初 注 册 到 不 再 需要 访问 信息 系统 和 服务 的 用 户 最 终 的 注销 。 适 当 的 情况 下 ,应 当 特 别 
注意 控制 特权 访问 权限 的 分 配 , 因 为 这 些 特权 允许 用 户 超越 系统 控制 。 

1. 用 户 注册 

为 了 授予 对 一 个 多 用 户 的 信息 系统 和 服务 的 访问 权限 ,应当 由 一 个 正式 的 用 户 注册 和 
注销 程序 ,通过 正式 的 用 户 注 册 程 序 来 控制 对 于 多 用 户 信息 服务 的 访问 。 对 企业 内 部 职工 ， 
如 果 有 未 经 授权 的 访问 时 要 接受 处 罚 ,建议 在 员工 合同 和 服务 合同 中 包含 相关 规定 的 条 款 。 

2. 特权 管理 

对 系统 特权 的 不 当 使 用 经 常 成 为 导致 信息 系统 产生 故障 的 一 个 主要 因素 ,所 以 应 当 通 
过 正式 的 授权 程序 来 控制 对 特权 的 分 配 。 

3. 用 户 密码 管理 

密码 是 一 种 访问 信息 系统 或 者 访问 时 确认 用 户 身份 的 常用 方式 。 应 当 通 过 正式 的 管理 
程序 来 控制 密码 的 分 配 ,但 无 论 如 何 ,密码 都 不 能 以 一 种 未 受 保护 的 形式 存储 在 计算 机 上 。 
可 以 使 用 其 他 的 用 户 识别 和 授权 技术 ,如 指纹 鉴定 ,签字 确认 和 硬件 标识 等 技术 。 

4. 用 户 访问 权限 的 复查 

为 了 保持 对 数据 和 信息 服务 的 存 取 访问 的 有 效 控制 ,管理 层 应 当 实施 一 个 正式 的 程序 
来 定期 复查 用 户 的 访问 权限 ,使 得 用 户 的 访问 权限 得 到 定期 复查 (推荐 周期 是 6 个 月 ) 并 在 
做 任何 改动 后 进行 复查 ; 对 特殊 的 特权 访问 权限 应 当 以 更 高 的 频率 来 检查 ; 推荐 周期 是 3 
个 月 ; 定期 核查 特权 分 配 , 以 确保 无 人 得 到 未 经 授权 的 特权 。 
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9.3.2 汕 产 正在 


得 到 授权 的 用 户 进 行 合 作 是 有 效 的 安全 基础 。 为 了 维持 有 效 的 访问 控制 ,应 当 让 用 户 
知道 他 们 的 责任 ,尤其 是 有 关 密 码 使 用 和 用 户 设备 的 安全 方面 的 责任 。 

1. 密码 使 用 

用 户 应 当 按 照 良好 的 安全 操作 规程 来 选择 和 使 用 密码 。 密 码 提 供 了 一 种 验证 用 户 身 份 
的 手段 ,从 而 建立 了 对 信息 处 理 设备 和 服务 的 访问 权限 。 

2. 无 人 值守 用 户 设备 

用 户 应 当 确保 无 人 值守 设备 得 到 足够 的 保护 。 应 当 让 所 有 的 用 户 和 合作 伙伴 明白 无 人 
值守 设备 的 安全 要 求 和 安全 程序 ,并 使 其 清楚 自己 的 责任 。 


7.3.3 网 络 访问 控制 


网 络 访问 控制 的 目的 是 保护 网 络 服务 ,控制 对 内 部 和 外 部 网 络 服务 的 访问 ,这 对 于 确保 
有 访问 权限 的 用 户 不 损害 这 些 系统 的 安全 是 必要 的 。 为 此 ,要 确保 在 本 组 织 的 网 络 和 其 他 
组 织 的 网 络 之 间 有 适当 的 接口 ,对 用 户 和 设备 有 适当 的 授权 机 制 , 以 对 用 户 访问 信息 服务 进 
行 控制 。 

1. 网 络 服务 的 使 用 策略 

与 网 络 服务 不 安全 的 链接 会 影响 到 整个 组 织 , 只 应 当 向 用 户 提 供 对 那些 特别 授权 他 们 
使 用 的 服务 进行 直接 访问 。 这 种 控制 对 于 与 敏感 或 者 关键 业务 应 用 软件 的 联网 或 者 与 处 于 
高 风险 地 区 的 用 户 的 联网 都 是 十 分 重要 的 。 其 中 高 风险 地 区 指 公 共 的 场所 或 者 组 织 的 安全 
管理 范围 以 外 的 区 域 。 当 然 , 这 一 策略 应 当 与 业务 访问 控制 策略 相 一 致 。 

2. 强制 路 径 

从 用 户 终端 到 服务 器 的 路 径 需 要 进行 控制 。 网 络 被 设计 成 要 允许 最 大 程度 的 资源 共享 
和 最 大 程度 的 路 径 选择 自由 ,而 网 络 的 这 些 特征 也 可 能 为 那些 对 业务 应 用 软件 未 经 授权 的 
访问 或 者 对 信息 设备 未 经 授权 的 使 用 制造 了 机 会 。 限 制 用 户 终 端 与 允许 用 户 访问 的 服务 器 
之 间 路 径 的 联合 管理 措施 ,能 够 降低 这 种 风险 。 

强制 路 径 的 目的 是 防止 用 户 选 择 了 任何 用 户 终端 与 允许 用 户 访问 的 服务 器 之 间 路 径 的 
其 他 路 径 。 

3. 外 部 连接 的 用 户 认证 

外 部 连接 可 能 导致 对 信息 系统 未 经 授权 的 访问 。 因 此 ,应 当 把 远程 用 户 的 访问 置 于 比 
其 他 方式 更 为 严密 的 保护 之 下 ,要 从 风险 评估 中 确定 所 需 保护 的 等 级 ,这 点 十 分 重要 。 而 且 
选择 恰当 的 认证 方法 时 也 需要 。 

可 以 通过 多 种 方式 验证 远程 用 户 的 身份 ,例如 加 密 技 术 、 硬 件 标识 或 者 询问 /应 答 协 议 。 
也 可 能 用 专用 线路 或 者 网 络 用户 地 址 检查 设备 来 确认 连接 的 来 源 。 

拨号 回 送 程序 和 控制 措施 ,能够 防止 对 一 个 组 织 的 信息 处 理 设备 的 未 经 授权 的 和 有 害 
的 连接 ,这 种 控制 能 够 鉴别 那些 远程 访问 的 用 户 。 

4. 节点 鉴别 

自动 连接 到 远程 计算 机 的 设备 能 够 提供 一 种 途径 ,从 中 可 以 获得 对 业务 应 用 软件 的 未 
经 授权 的 访问 。 因 此 应 当 认 证 连 到 远程 计算 机 系统 的 连接 ,如 果 连 接 使 用 的 网 络 在 组 织 的 


安全 管理 的 控制 范围 以 外 ,这 种 做 法 就 尤其 重要 了 。 

5. 远程 诊断 接口 的 保护 

应 当 安 全 地 控制 对 诊断 接口 的 访问 。 为 了 方便 维护 工程 师 的 使 用 ,许多 计算 机 和 通信 
系统 安装 在 一 个 拨号 远程 诊断 设备 之 中 。 如 果 未 加 保护 ,这 些 诊断 接口 就 为 未 经 授权 的 访 
问 提供 了 途径 。 因 此 ,应 当 用 适当 的 安全 机 制 对 其 加 以 保护 ,例如 一 个 密码 锁 和 一 个 保护 程 
序 。 通 过 在 管理 员 和 需要 访问 通路 的 硬件 /软件 支持 人 员 之 间 所 做 的 安排 ,该 程序 确保 了 诊 
断 接口 只 能 由 他 们 访问 。 

6. 网 络 隔离 

网 络 日 益 被 扩展 到 传统 的 组 织 边 界 以 外 ,例如 业务 伙伴 关系 的 形成 可 能 需要 互联 或 者 
共享 信息 处 理 和 网 络 设备 。 网 络 的 这 种 扩展 可 能 加 大 使 用 网 络 的 现 有 信息 系统 受 未 经 授权 
的 访问 的 风险 ,由 于 有 些 网 络 的 敏感 性 或 者 关键 性 ,它们 可 能 需要 其 他 网 络 用户 的 保护 。 在 
这 种 情形 下 ,应 当 考 虑 在 网 络 中 引入 管理 措施 来 隔离 不 同 的 信息 服务 .用 户 和 信息 系统 。 

大 型 网 络 安全 管理 的 方法 之 一 就 是 将 其 分 解 为 独立 的 逻辑 网 域 ,再 将 被 连接 起 来 以 控 
制 两 个 域 之 间 的 访问 和 信息 流 的 两 个 网 络 之 间 安 装 一 个 安全 网 闻 ,形成 安全 边界 。 安 全 网 
闻 可 以 用 来 过 滤 这 些 域 之 间 的 通信 ,并 能 够 按照 访问 管理 措施 堵 住 未 经 授权 的 访问 。 

7. 网 络 连 接管 理 

共享 网 络 访问 控制 策略 的 要 求 ,特别 是 那些 跨越 组 织 界线 的 关系 网 络 , 可 能 需要 把 控制 
措施 结合 起 来 以 约束 用 户 的 连接 能 力 。 这 种 控制 措施 可 以 由 一 个 用 预先 拟定 的 表格 或 者 规 
则 过 滤 通 信 的 网 络 门 路 来 实现 。 所 用 的 这 种 约束 措施 应 当 基 于 访问 控制 策略 和 业务 应 用 软 
件 的 需要 ,因此 应 当 加 以 维护 和 更 新 。 

8. 网 络 路 径 选 择 控制 

共享 的 网 络 ,尤其 是 那些 跨越 组 织 边 界 的 网 络 ,可 能 需要 把 路 径 选 择 管理 措施 结合 起 来 
以 确保 计算 机 连接 和 信息 流 不 会 破坏 业务 应 用 软件 的 访问 控制 策略 。 

路 径 选择 控制 应 当 基 于 确定 的 来 源 和 目标 地 址 检测 机 制 。 网 络 地 址 翻译 对 于 隔离 网 络 
和 防止 路 径 从 一 个 组 织 的 网 络 延 伸 到 另 一 个 网 络 中 也 是 一 种 非常 有 用 的 机 制 ,它们 能 够 在 
软件 和 硬件 中 实现 ,实施 者 应 当 清 楚 所 配备 的 任何 机 制 的 作用 强度 。 


7.3.4 操作 系统 访问 管理 


操作 系统 水 平 的 安全 设备 应 当 用 于 限制 对 计算 机 资源 的 访问 ,这 些 设备 应 当 能 够 鉴别 
和 验证 身份 ,甚至 能 够 鉴别 和 验证 每 个 经 授权 用 户 的 位 置 和 终端 ; 记录 对 系统 的 成 功 访问 
和 失败 访问 ; 提供 适当 的 授权 方式 ; 如 果 使 用 了 密码 管理 系统 ,应 当 能 够 确保 使 用 的 是 优 
质 密码 ; 在 适当 的 地 方 ,限制 用 户 的 连接 次 数 。 

1. 自动 终端 识别 

为 了 鉴别 连 到 特殊 地 点 和 便携 设备 的 连接 应 当 考虑 自动 终端 识别 技术 。 如 果 一 个 会 
只 能 从 特殊 的 地 点 或 者 计算 机 终端 上 启动, 那么 自动 终端 识别 就 是 一 种 可 以 考虑 的 方法 。 
终端 内 或 者 贴 到 终端 上 的 一 个 标识 可 以 用 来 指示 是 否 允 许 这 个 特定 的 计算 机 终端 启动 或 者 
接收 特殊 事项 。 为 保持 终端 标识 的 安全 ,可 能 需要 对 计算 机 终端 进行 物理 保护 ,也 可 以 用 其 
他 的 技术 鉴别 计算 机 终端 。 
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2. 终端 登录 程序 

一 个 安全 的 终端 登录 程序 应 当 能 够 获得 对 信息 服务 的 访问 ,这 一 登录 到 计算 机 系统 的 
过 程 的 设计 应 当 把 对 系统 未 经 授权 的 访问 的 机 会 降 到 最 低 限 度 。 因 此 为 了 避免 给 未 经 授权 
的 用 户 以 不 必要 的 帮助 ,该 登录 程序 只 会 透露 出 最 少 的 系统 信息 。 一 个 好 的 登录 程序 应 当 
做 到 符合 相关 规范 ,如 在 登录 程序 中 不 提供 可 能 会 帮助 未 经 授权 的 用 户 的 信息 ; 能 够 限制 
所 允许 失败 登录 的 次 数 , 并 记录 失败 的 尝试 ; 在 重新 登录 之 前 强制 等 待 一 段 时 间或 者 拒绝 
任何 没有 特殊 授权 的 进一步 尝试 ,限制 所 允许 的 登录 程序 的 最 长 和 最 短 时 间 ,如 果 超 过 了 这 
个 范围 ,系统 应 当 终止 登录 等 。 

3. 用 户 识别 和 鉴定 

所 有 的 用 户 应 当 有 唯一 的 标识 (用 户 ID) 供 他 们 个 人 并 且 只 供 他 们 个 人 使 用 ,这 样 就 可 
以 追踪 各 种 活动 到 负 有 责任 的 个 人 身上 。 在 例外 的 情况 之 下 ,可 能 会 让 一 个 用 户 群 或 者 特 
殊 的 工种 共享 一 个 用 户 ID, 管 理 层 对 这 种 情况 的 批准 应 当 记 录 在 案 。 

需要 有 各 种 授权 程序 来 证 实用 户 所 声称 的 真实 身份 。 密 码 是 一 种 非常 通用 的 进行 识别 
和 鉴定 的 方法 ,这 一 方法 基于 一 个 只 有 用 户 才 知 道 的 秘密 。 利 用 加 密 技术 和 上 鉴别 协议 也 可 
以 达到 同样 的 目的 。 存 储 标识 或 者 用 户 拥 有 的 智能 卡 这 类 物品 也 可 以 用 来 进行 识别 和 鉴 
定 。 利 用 个 人 的 唯一 特征 或 者 属性 的 生物 鉴别 技术 也 可 以 用 来 鉴别 一 个 人 的 身份 。 将 鉴别 
技术 和 管理 机 制 妥善 地 结合 到 一 起 能 够 得 到 更 为 强大 的 鉴定 能 力 。 

4. 密码 口令 管理 系统 

密码 是 验证 用 户 访问 计算 机 权限 的 主要 形式 之 一 ,密码 管理 系统 应 当 提 供 一 个 有 效 的 、 
交互 的 设备 ,这 样 可 以 确保 优质 密码 。 一 些 应 用 程序 需要 有 独立 的 职权 来 分 配 用 户 密码 ,在 
大 多 数 情 况 下 ,密码 是 由 用 户 选择 和 维护 的 ,一 个 好 的 密码 管理 系统 应 当 符合 密码 管理 的 标 
准 和 规范 。 如 输入 密码 时 不 要 将 其 在 屏幕 上 显示 出 来 ,把 密码 与 应 用 软件 系统 的 数据 分 开 
存放 ,以 使 用 单 向 加 密 算 法 的 加 密 形 式 存 储 密码 口令 等 。 

5. 系统 实用 程序 的 使 用 

大 多 数 计算 机 安装 有 一 个 或 者 更 多 系统 实用 程序 ,它们 可 能 有 能 力 超越 系统 和 应 用 程 
序 的 控制 ,因此 限制 并 严格 控制 对 它们 的 使 用 是 十 分 重要 的 。 

系统 实用 程序 的 使 用 有 必要 配置 认证 程序 ,并 把 系统 实用 程序 从 应 用 软件 中 分 离 出 来 ; 
把 使 用 系统 实用 程序 的 人 限制 在 最 少 的 值得 信任 的 授权 用 户 之 内 ,要 为 系统 实用 程序 的 特 
殊 使 用 进行 授权 ; 需要 限制 系统 实用 程序 的 有 效 性 ,并 要 记录 系统 实用 程序 的 所 有 使 用 ; 
所 有 基于 软件 的 多 余 实 用 程序 和 系统 软件 需要 删除 。 

6. 终端 暂停 

为 了 防止 未 经 授权 人 的 访问 ,在 一 段 确定 的 休止 期 结束 后 ,应 当 关闭 在 高 风险 地 区 的 暂 
停 终 端 或 者 是 正在 为 高 风险 系统 提供 服务 的 终端 。 在 一 段 确 定 的 暂停 期 后 ,这 一 终端 暂停 
手段 应 当 清 除 终端 屏幕 内 容 并 关闭 应 用 程序 和 网 络 会 话 。 

7. 连接 时 间 的 限制 

对 连接 时 间 的 限制 应 当 为 高 风险 应 用 程序 提供 额外 的 安全 保证 ,限制 终端 的 连接 时 间 
可 以 减少 未 经 授权 访问 的 空间 。 对 于 敏感 的 计算 机 应 用 程序 ,特别 是 那些 安装 在 高 风险 地 
区 的 终端 ,应 当 考 虑 这 样 的 管理 措施 。 这 样 约束 措施 的 例子 包括 使 用 预先 确定 的 时 间 段 , 例 
如 批量 的 文件 发 送 ,或 者 定期 的 短 时 交互 式 对 话 ; 如 果 没 有 超时 或 者 延 时 业务 ,限制 连接 到 


正常 办 公 时 间 的 次 数 等 。 
7.3.5 应 用 程序 访问 控制 


防止 保存 在 信息 系统 内 的 信息 被 未 经 授权 访问 ,应 当 使 用 安全 设施 限制 在 应 用 程序 系 
统 中 的 访问 ,对 软件 和 信息 的 逻辑 访问 应 当 限 制 在 经 过 授权 的 用 户 之 中 。 

1. 应 用 软件 系统 限制 

能 够 控制 用 户 对 信息 和 应 用 程序 系统 功能 的 访问 ,并 要 与 确定 的 业务 访问 控制 策略 相 
一 致 ; 为 任何 一 个 能 够 超越 系统 或 应 用 程序 限制 的 实用 程序 和 操作 系统 软件 提供 保护 , 防 
止 未 经 授权 的 访问 ; 不 损害 有 共享 信息 资源 的 其 他 系统 的 安全 ; 只 能 够 向 所 有 权 人 、 其 他 
被 指派 和 经 授权 的 个 人 或 者 确定 的 用 户 群 提供 对 信息 的 访问 权限 。 

2. 信息 访问 限制 

按照 确定 的 访问 控制 策略 ,应 当 为 应 用 软件 系统 的 用 户 包 括 技术 支持 人 员 提 供 对 信息 
和 应 用 程序 系统 的 访问 。 

通过 适当 编辑 用 户 文件 ,可 以 限制 用 户 对 未 得 到 授权 访问 的 信息 或 者 应 用 程序 系统 功 
能 的 了 解 ; 控制 用 户 的 访问 权限 ,例如 读 取 ,改写 .删除 和 执行 等 权限 ; 确保 处 理 敏 感 信息 
的 应 用 程序 系统 的 输出 只 包括 与 使 用 相关 的 信息 ,而 且 只 送 到 得 到 授权 的 终端 和 地 点 ,包括 
对 这 种 输出 周期 性 的 复查 ,以 确保 多 余 的 信息 被 删除 。 

3. 敏感 系统 的 隔离 

敏感 系统 可 能 需要 专用 (隔离 ) 的 计算 环境 。 有些 应 用 程序 系统 对 于 潜在 的 损失 如 此 敏 
感 以 至 于 需要 对 它们 做 专门 处 理 , 这 种 敏感 性 可 能 表示 应 用 程序 系统 应 当 在 专用 计算 机 上 
运行 ,而 且 只 同 受信 的 应 用 程序 系统 共享 资源 ,或 者 没有 限制 。 

对 一 个 应 用 程序 系统 的 敏感 性 应 当做 清楚 的 定义 ,并 且 应 用 程序 的 所 有 权 人 应 该 被 记 
录 在 案 。 当 一 个 敏感 的 应 用 程序 在 共享 的 环境 下 运行 时 ,应 该 能 够 被 识别 ,并 获得 敏感 应 用 
程序 的 所 有 权 人 的 准许 。 


7.3.6 检测 系统 访问 和 使 用 


系统 中 偏离 访问 控制 策略 的 行为 应 能 被 监控 和 记录 ,以 便 在 发 生 安全 事件 时 提供 证 据 。 
系统 检测 允许 对 所 采用 管理 措施 的 有 效 性 进行 检测 ,并 允许 对 一 个 访问 策略 模型 的 确认 进 
行 验证 。 

1. 事件 记录 

应 当 编 写 用 来 记录 异常 现象 和 其 他 有 关 安 全 事件 的 审查 日 志 , 并 在 各 方 同意 的 时 间 段 
内 保持 该 日 志 , 以 协助 以 后 的 调查 研究 和 访问 控制 监测 。 审 核 日 志 需 要 放 入 档案 中 ,或 作为 
记录 保留 策略 的 一 部 分 ,或 出 于 搜集 证 据 的 需要 。 

2. 检测 系统 使 用 

(1) 程序 和 风险 区 域 

为 了 确保 用 户 只 做 得 到 明确 授权 的 行为 ,信息 处 理 设备 使 用 的 检测 程序 是 必需 的 ,并 应 
经 风险 评估 以 确定 个 人 设备 所 需 的 监测 等 级 ,确定 用 户 得 到 授权 的 访问 细节 ,如 : 用 户 ID、 
关键 事件 发 生 的 日 期 和 时 间 、 事 件 的 类 型 .访问 的 文件 .使 用 的 程序 /实用 程序 .所 有 有 特权 
的 作业 、 未 经 授权 的 访问 尝试 、 系 统 警报 或 者 故障 等 。 
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(2) 风险 因素 

应 当 定期 检查 监测 活动 的 结果 ,检查 的 频率 取决 于 所 涉及 的 风险 。 应 当 加 以 考虑 的 风 
险 因素 包括 : 应 用 进程 的 重要 程度 ,所 涉及 信息 的 价值 .敏感 性 和 重要 程度 ,以 往 的 系统 过 
滤 和 误 用 的 经 验 教 训 , 系 统 互联 的 程度 等 。 

(3) 记录 和 检查 事件 

日 志 检 查 涉及 对 于 系统 所 面临 威胁 的 理解 和 对 这 些 威胁 可 能 的 产生 方式 的 认识 。 系 统 
日 志 常 常 包 含 大 量 的 信息 ,其 中 很 多 信息 与 安全 检测 无 关 。 出 于 安全 检测 的 目的 而 帮助 识 
别 重要 事件 时 ,应 当 考 虑 把 适当 的 信息 类 型 自动 复制 到 第 二 个 日 志 , 或 者 使 用 适当 的 系统 实 
用 程序 或 检测 工具 ,以 便 进行 文件 审查 。 

当 为 检查 日 志 而 分 配 责 任 时 ,应 当 考虑 把 执行 检查 的 人 员 和 其 活动 被 监测 的 人 员 的 角 
色 分 离开 。 尤 其 应 当 注 意 日 志 记录 设施 的 安全 性 ,因为 一 旦 遭 到 破坏 可 能 给 人 一 种 十 分 安 
全 的 假象 。 


7.3.7 移动 计算 和 远程 工作 


使 用 移动 计算 时 ,应 当 考虑 在 未 经 保护 的 环境 下 工作 的 风险 ,并 且 要 采用 适当 的 措施 。 在 
远程 工作 时 ,应 当 为 远程 工作 地 点 提供 保护 ,并 且 确 保 对 这 种 工作 方式 有 适当 的 安排 。 

1. 移动 计算 

使 用 移动 计算 设备 时 ,应 当 特 别 注意 确保 业务 信息 不 受 损 害 。 应 当 采 取 正 式 策略 来 考 
虑 使 用 移动 计算 设备 的 风险 ,特别 是 在 未 加 保护 的 环境 之 中 。 例 如 ,该 策略 应 当 涵盖 物理 保 
护 . 访 问 控制 ,加密 技 术 、 备 份 文 件 和 防范 病毒 等 方面 的 需要 。 该 策略 还 应 当 包括 有 关 把 设 
备 连接 到 网 络 的 规则 和 建议 ,以 及 对 于 在 公共 场所 使 用 这 些 设备 的 指导 。 

在 保护 范围 之 外 的 未 受 保护 的 区 域 , 在 适当 的 位 置 应 当 有 保护 措施 ,以 避免 未 经 授权 的 
访问 或 者 泄露 由 这 些 设备 存储 和 处 理 的 信息 。 对 连接 到 网 络 的 移动 设备 给 以 适当 的 保护 ， 
只 有 经 过 成 功 的 识别 和 鉴定 之 后 , 才 可 以 使 用 移动 计算 设备 通过 公众 网 对 业务 信息 进行 访 
问 ,并 且 有 适当 的 访问 控制 机 制 在 。 还 应 当 对 移动 计算 设备 加 以 物理 上 的 保护 ,以 防 在 离开 
时 被 偷窃 。 应 当 训 练 职工 使 用 移动 设备 ,提高 他 们 对 这 种 工作 方式 所 带 来 的 额外 风险 和 应 
当 实行 的 管理 措施 的 认识 。 

2. 远程 工作 

远程 通信 技术 能 够 让 员工 在 组 织 之 外 的 远程 地 点 工作 ,但 应 该 对 远程 工作 进行 保护 ,以 
防止 设备 和 信息 被 盗 走 \ 信 息 未 经 授权 就 披露 对 内 部 系统 的 未 经 授权 的 访问 或 者 设备 的 误 
用 。 远 程 工作 不 但 需要 授权 ,还 要 由 管理 层 控 制 ,而 且 对 这 种 工作 方式 应 当 有 适当 的 安排 。 
应 当 考 虑 开发 一 种 策略 ,程序 和 标准 来 控制 远程 工作 活动 。 


7.4 容 灾 管理 


7.4.1 容 灾 的 概念 


容 灾 是 指 为 了 保证 关键 业务 和 应 用 在 经 历 各 种 灾难 后 ,仍然 能 够 最 大 限度 地 提供 正常 
服务 所 进行 的 一 系列 系统 计划 及 建设 行为 。 业 务 连续 性 是 容 灾 的 最 终 建设 目标 。 容 灾 是 一 


个 宏观 的 概念 ,通常 所 说 的 容 灾 系统 、 灾 难 恢复 等 只 是 容 灾 的 一 部 分 ,或 者 说 是 容 灾 发 展 历 
程 中 的 某 一 阶段 的 骏 形 。 事 实证 明 , 只 有 对 数据 存储 备份 制定 完备 .持续 且 可 执行 的 容 灾 计 
划 , 特 别 是 业务 连续 计划 ,才能 为 人 们 提供 万 无 一 失 的 数据 安全 保护 。 

严格 地 说 , 容 灾 计划 包括 一 系列 应 急 计划 ,如 业务 持续 计划 (Business Continuity Plan， 
BCP) 业务 恢复 计划 (Business Recovery Plan, BRP) 运行 连续 性 计划 (Continuity of 
Operations Plan, COOP) .事件 响应 计划 (Incident Response Plan, IRP)、 场 所 紧急 计划 
(Occupant Emergency Plan,OEP) 危机 通信 计划 (Crisis Communication Plan,CCP) ,灾难 
恢复 计划 (Disaster Recovery Plan,DRP) 等 。 

在 技术 层面 上 , 容 灾 需要 考虑 以 下 内 容 。 

。 数据 版 本 保护 : 建立 容 灾 的 多 版 本 保护 底线 。 

。 实时 数据 保护 : 数据 复制 ,近乎 0 的 数据 丢失 ,数据 一 致 性 。 

。 应 用 系统 恢复 : 恢复 时 间 ( 包 括 数据 库 恢复 )\ 应 用 版 本 的 一 致 性 等 。 

。 网 络 系统 恢复 : 数据 访问 点 变化 、 建 立新 网 络 路 径 .动态 路 由 (收敛 时 间 / 稳 定性 ) 。 

。 容 灾 切 换 决策 : 及 时 发 现 灾难 ( 容 灾 系统 管理 ) 、 容 灾 切 换 的 损失 和 补救 办 法 。 

。 容 灾 切 换 过 程 : 变更 管理 。 

容 灾 不 只 是 简单 备份 ,也 不 仅仅 是 技术 ,完善 的 容 灾 管理 方案 对 解决 容 灾 问题 具有 非常 
重要 的 意义 。 这 种 管理 包括 三 个 方面 , 即 对 容 灾 环 境 的 管理 ,存储 资源 的 管理 和 数据 备份 的 
管理 。 


7.4.2 容 灾 环 境 管理 


小 型 的 容 灾 系统 一 般 采 用 手工 备份 或 简易 的 DAS、NAS 方式 进行 数据 存储 备份 ,而 在 
大 型 的 容 灾 系 统 中 ,更 高 的 数据 传输 速率 .不 依赖 服务 器 .数据 吞吐 量 更 大 的 SAN 得 到 了 
更 多 的 应 用 。 一 个 复杂 的 存储 系统 往往 是 由 DAS、NAS 和 SAN 等 多 种 存储 方式 共同 组 
成 ,要 有 效 地 解决 容 灾 问题 ,就 需要 将 这 些 复杂 、 异 构 的 存储 设备 进行 统一 、 集 中 的 管理 ,也 
就 是 对 容 灾 环境 进行 管理 。 

由 于 SAN 在 目前 尚未 有 统一 的 标准 ,不 同 硬件 厂商 的 产品 存在 一 定 的 兼容 性 困难 , 因 
此 ,在 规划 一 个 大 型 容 灾 系统 的 存储 环境 时 ,对 SAN 的 管理 显得 尤其 重要 。CA 公司 的 
BrightStor SAN Manager 软件 则 是 一 个 可 以 有 效 管理 复杂 、 异 构 条 件 下 的 容 灾 环 境 的 
产品 。 


7.4.3 存储 资源 管理 


存储 资源 管理 主要 解决 两 个 方面 的 问题 ,一 是 确保 容 灾 恢 复 时 的 数据 可 用 性 ,二 是 随时 
掌握 容 灾 系 统 的 情况 ,保证 容 灾 系 统 的 可 靠 性 和 控制 成 本 。 可 以 想象 ,如 果 容 灾 系 统 出 现 故 
障 却 不 为 人 所 知 , 或 者 发 现 了 故障 却 不 能 及 时 解决 ,即使 是 性 能 最 好 的 容 灾 系统 又 有 什么 
用 呢 ? 

1. SRM 存储 资源 管理 系统 

CA 的 BrightStor Storage Resource Manager(SRM) 可 以 对 容 灾 系统 的 存储 资源 和 数 
据 恢复 进行 有 效 的 管理 。BrightStor 是 一 整套 企业 级 的 智能 化 存储 管理 解决 方案 ,定位 在 
存储 硬件 设备 和 上 层 应 用 之 间 ,通过 各 种 集成 化 的 产品 和 工具 为 驻 留 在 企业 任何 位 置 的 数 
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据 提供 全 方位 的 有 效 的 存储 管理 和 保护 。 

1) 基础 存储 应 用 管理 

BrightStor 通过 提供 数据 可 用 性 和 企业 存储 资源 管理 两 个 方面 的 解决 方案 来 实现 对 用 
户 基础 存储 应 用 的 全 面 管理 。 

(1) 数据 可 用 性 管理 

CA 的 数据 可 用 性 管理 解决 方案 始终 确保 服务 器 .应 用 和 数据 的 可 用 性 。CA 是 目前 唯 
一 能 够 为 用 户 提供 从 笔记 本 到 大 型 主机 ` 从 LAN 到 SAN 中 的 各 种 数据 保护 的 存储 软件 供 
应 商 。 这 些 解决 方案 可 以 为 全 球 任何 规模 的 企业 实现 跨 平 台 的 综合 数据 备份 /恢复 以 及 层 
次 存储 管理 。 另 外 ,CA 的 数据 可 用 性 管理 解决 方案 还 涵盖 了 使 用 z/OS、OS/390、z/VM 和 
VSE 等 大 型 主机 系统 的 企业 服务 器 环境 的 数据 可 用 性 管理 。CA 的 数据 可 用 性 管理 解决 方 
案 主 要 包括 BrightStor Enterprise Backup、BrightStor Mobile Backup 和 BrightStor 
ARCserve Backup 。 

(2) 企业 存储 资源 管理 

CA 的 企业 存储 资源 管理 解决 方案 通过 提供 事件 管理 ,报表 ,趋势 图 、 预 测 和 分 析 等 各 
种 使 用 方便 的 管理 手段 来 充分 利用 存储 资源 。 企 业 可 以 通过 利用 诸如 SAN 管理 ,存储 资 
源 管理 .磁带 管理 ,软件 虚拟 磁带 等 各 种 BrightStor 存储 管理 解决 方案 来 有 效 地 管理 和 控制 
存储 硬件 和 人 工 的 成 本 ,从 而 降低 总 体 拥有 成 本 。 

2) 存储 管理 门户 的 单 点 管理 

在 这 些 数据 应 用 解决 方案 的 基础 上 ,BrightStor 提供 了 集中 式 的 存储 管理 门户 ,帮助 企 
业 在 已 有 的 存储 架构 中 ,整合 不 同 生 产 主机 平台 的 数据 资源 ,通过 统一 的 界面 管理 各 种 应 用 
软件 和 数据 库 , 真 正 实现 集中 化 的 .智能 的 、 便 捷 的 单 点 存储 管理 。 这 个 门户 产品 就 是 
BrightStor Portal 。 

BrightStor Portal 从 根本 上 简化 了 跨 多 种 协议 和 多 供应 商 硬件 环境 的 存储 管理 ,确保 
了 存储 资源 的 最 有 效 利用 。 通 过 BrightStor Portal, BrightStor 的 各 种 单 点 控制 功能 ,包括 
查找 和 发 现 数据 ,监测 存储 设备 .进行 备份 和 恢复 等 操作 ,决策 .预测 ,都 可 统一 完成 。 此 外 ， 
BrightStor Portal 还 可 简化 各 种 存储 操作 。 通 过 直观 .简洁 的 Web 网 页 风格 的 界面 ,管理 
员 只 需 轻 松 点 击 鼠 标 ,就 可 方便 地 实现 存储 应 用 中 的 各 种 操作 ,而 无 须 了 解数 据 具体 存储 在 
哪里 ,或 者 如 何 存储 。 

BrightStor Portal 是 一 个 灵活 、 可 扩展 的 平台 ,是 CA* 无 边界 的 存储 管理 "理念 的 重要 
体现 。 通 过 开放 的 、 标 准 友好 的 解决 方案 ,BrightStor Portal 增强 了 CA 在 异 构 环 境 集成 方 
面 一 贯 的 领导 地 位 。 它 可 以 通过 轻松 定制 ,为 新 的 供应 商 \ 设 备 、 应 用 和 各 种 协议 提供 支持 ， 
也 可 以 进一步 扩展 ,以 适应 甚至 是 最 大 型 的 ,拥有 最 多 种 不 同 企业 存储 资源 的 环境 。 

2.BrightStor 适用 的 网 络 存储 架构 

无 论 何 种 类 型 的 企业 ,无论 企业 采用 的 是 哪 一 种 网 络 存储 架构 ,CA 的 BrightStor 系列 
端 到 端 存 储 管理 解决 方案 都 能 通过 各 种 集成 化 的 产品 和 工具 来 提供 支持 。BrightStor 支持 当 
前 流行 的 网 络 存储 架构 ,包括 直接 附加 存储 (Directed Attached Storage,DAS)、 存 储 区 域 网 络 
(Storage Attached Network,SAN) 和 网 络 连 接 存储 (Network Attached Storage,NAS ) 。 

1) DAS 

DAS 方式 一 直 是 大 多 数 服务 器 采取 的 方式 。 从 严格 意义 上 讲 ,DAS 不 属于 网 络 存储 


系统 。 服 务 器 通过 专用 路 径 ( 典 型 的 如 SCSD 将 存储 设备 连接 起 来 ,需要 访问 时 , 它 发 出 1/ 
O 指令 给 存储 设备 ,存储 设备 根据 指令 进行 相应 操作 ,将 数据 返回 给 服务 器 ,或 者 将 服务 器 
的 数据 写 人 到 磁盘 。DAS 的 存储 设备 可 以 是 磁盘 驱动 器 ,也 可 以 是 RAID 子 系统 ,或 者 其 
他 存储 设施 。 通 常 DAS 与 服务 器 之 间 提 供 块 级 接口 ,数据 的 传输 以 块 为 单位 。 这 种 方式 结 
构 简 单 ,成 本 比较 低 ,但 扩展 性 差 ,数据 共享 困难 ,只 适合 短 距 离 传输 。 

2) SAN 

SAN 是 一 种 高 速 .专用 网 络 ,用 于 连接 服务 器 和 存储 设备 ,基于 这 种 网 络 技术 的 存储 
结构 ,具有 很 高 的 性 能 。 在 这 种 结构 中 ,多 台 服 务 器 连接 到 一 个 内 部 高 速 网 络 SAN 上 ， 
多 个 存储 设备 也 连接 到 这 个 网 络 上 。SAN 网 络 通常 使 用 Fiber Channel( 光 纤 通 道 ) 作 为 
介质 ,使 用 交换 技术 在 服务 器 和 存储 设备 间 建 立 传输 通道 ,可 以 提供 高 达 2. 5Gbps 的 数 
据 传输 速率 ,因此 SAN 网 络 连 接 存 储 能 提供 非常 高 的 带宽 。 这 对 于 大 容量 的 数据 存储 是 
必 不 可 少 的 。 基 于 SAN 结构 的 存储 系统 的 性 能 和 成 本 较 高 ,具有 良好 的 扩展 性 ,但 管理 
复杂 。 

3) NAS 

与 以 上 两 种 方式 不 同 ,NAS 通过 通用 的 网 络 ,将 本 地 服务 器 与 远程 的 NAS 存储 设备 连 
接 起 来 。 远 程 的 NAS 存储 设备 是 一 个 智能 设备 , 它 带 有 自己 的 文件 系统 ,将 本 地 文件 系统 
以 工业 标准 的 网 络 文件 系统 (最 常用 的 包括 NFS 和 CIFS) 的 方式 提供 给 服务 器 , 即 对 NAS 
设备 的 访问 以 文件 为 单位 。 服 务 器 通过 将 远程 的 文件 系统 安装 到 本 地 的 文件 系统 层次 上 ， 
透明 地 访问 远程 文件 。NAS 提供 一 种 开放 的 数据 访问 方式 ,可 以 更 好 地 支持 多 种 操作 系统 
平台 和 硬件 平台 。NAS 具有 低廉 的 成 本 ,其 网 络 延 迟 较 大 ,带宽 较 低 ,属于 文件 级 的 访问 ， 
具有 开放 的 标准 接口 ,管理 简单 。 


7.4.4 数据 备份 管理 


数据 备份 是 容 灾 的 基础 ,是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 
全 部 或 部 分 数据 集合 从 应 用 主机 的 硬盘 或 阵列 复制 到 其 他 的 存储 介质 的 过 程 。 容 灾 系 统 包 
括 备份 中 心 .备份 设备 和 备份 数据 等 部 分 ,专业 的 数据 备份 系统 是 容 灾 不 可 或 缺 的 重要 组 成 
部 分 ,而 只 有 Windows 和 应 用 系统 本 身 自 带 的 备份 工具 是 远 远 不 够 的 ,没有 优秀 的 备份 解 
决 方案 ,根本 谈 不 上 容 灾 的 实现 。 
1. 常见 的 备份 方式 
(1) 定期 磁带 备份 数据 
。 远程 磁带 库 .光盘 库 备 份 。 即 将 数据 传送 到 远程 备份 中 心 制 作 完 整 的 备份 磁带 或 
光盘 。 
。 远程 关键 数据 十 磁带 备份 。 采 用 磁带 备份 数据 ,生产 机 实时 向 备份 机 发 送 关键 
数据 。 
(2) 远程 数据 库 备 份 
这 种 方式 是 在 与 主 数 据 库 所 在 生产 机 相 分 离 的 备份 机 上 建立 主 数据 库 的 一 个 拷贝 。 
(3) 网 络 数据 镜像 
这 种 方式 是 对 生产 系统 的 数据 库 数据 和 所 需 跟踪 的 重要 目标 文件 的 更 新 进行 监控 与 跟 
踪 , 并 将 更 新 日 志 实 时 通过 网 络 传送 到 备份 系统 ,备份 系统 则 根据 日 志 对 磁盘 进行 更 新 。 
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(4) 远程 镜像 磁盘 

通过 高 速 光纤 通道 线路 和 磁盘 控制 技术 将 镜像 磁盘 延伸 到 远离 生产 机 的 地 方 ,镜像 磁 
盘 数 据 与 主 磁盘 数据 完全 一 致 ,更 新 方式 为 同步 或 异步 。 

数据 备份 必须 要 考虑 到 数据 恢复 的 问题 ,包括 采用 双 机 热 备 .磁盘 镜像 或 容错 、 备 份 磁 
带 异 地 存放 关键 部 件 元 余 等 多 种 灾难 预防 措施 。 这 些 措施 能 够 在 系统 发 生 故 障 后 进行 系 
统 恢复 。 但 是 这 些 措 施 一 般 只 能 处 理 计算 机 单 点 故障 ,对 区 域 性 .毁灭 性 灾难 则 束手无策 ， 
也 不 具备 灾难 恢复 能 力 。 

2. 目前 常用 的 数据 备份 方案 

目前 常用 的 数据 备份 方案 有 LAN 备份 .LAN Free 备份 和 SAN Server-Free 备份 三 
种 。LAN 备份 针对 所 有 存储 类 型 都 可 以 使 用 ,LAN Free 备份 和 SAN Server-Free 备份 只 
能 针对 SAN 架构 的 存储 。 目 前 主流 的 备份 软件 ,如 IBM Tivoli 、Veritas 均 支 持 上 述 三 种 
备份 方案 。 下 面 介 绍 的 是 SRM 支持 的 备份 方案 。 

(1) DAS 备份 方案 

BrightStor 为 DAS 架构 提供 了 多 种 存储 设备 (磁带 、 磁 盘 等 ) 的 管理 与 使 用 、 自 定义 备 
份 策 略 、 自 动 执行 备份 作业 、 数 据 压 缩 和 解压 、 数 据 加 密 和 解密 等 功能 ,可 满足 企业 管理 
DAS 架构 的 需求 。 

如 图 7-3 所 示 为 典型 的 DAS 备份 方案 。 该 方案 用 一 台 与 磁带 机 相连 的 服务 器 作为 备 
份 服务 器 ,并 安装 BrightStor Enterprise Backup Server 软件 ,以 及 BrightStor Tape Library 
选 件 ,可 实现 UNIX、Windows NT、AS/400 的 跨 平台 备份 。 


Ls 


加 理 


NT/W2K Application Server Backup Server UNIX Application Server AS/400 


RAID 


Ethernet 


Database Agent BrightStor EB Server Database Agent BrightStor AS/400 Agent 
Client Agent BrightStor Tape Library OPtion Client Agent 
Open File Agent 


图 7-3 DAS 备份 方案 


利用 该 解决 方案 ,以 往 要 通过 复杂 操作 才 实 现 的 任务 现在 都 可 通过 BrightStor 提供 的 
简单 的 操作 界面 实现 。 因 为 BrightStor 可 以 自行 运行 和 管理 , 极 少 需要 用 户 的 干预 ,能 够 自 
动 安排 和 执行 数据 的 全 备份 和 增 量 备份 ,因此 可 帮助 客户 降低 维护 成 本 ,同时 避免 人 为 操作 
上 的 错误 发 生 , 增 加 备份 的 可 靠 性 。 此 外 ,在 对 硬件 的 操控 方面 ,BrightStor 不 仅 对 客户 的 
多 个 介质 单元 具备 极 高 的 容错 能 力 , 还 实现 了 自动 对 磁带 机 使 用 情况 进行 跟踪 和 清理 等 功 
能 。 这 些 都 很 大 程度 地 提高 了 IT 管理 的 效率 并 降低 了 成 本 投入 。 


(2) NAS 备份 方案 

NAS 是 网 络 中 心 型 存储 技术 ,提供 用 户 基 于 网 络 快速 访问 数据 的 能 力 。NAS 的 出 现 
标志 着 存储 技术 迈 上 了 一 个 新 的 台阶 ,从 此 ,网 络 存储 日 益 流 行 起 来 。 如 图 7-4 所 示 为 一 个 
典型 的 NAS 备份 方案 。BrightStor Enterprise Backup 安装 在 生产 主机 上 , 当 生 产 主 机 上 的 
数据 需要 备份 时 , BrightStor Enterprise Backup 可 以 发 出 NDMP (Network Data 
Management Protocol) 指 令 , 将 备份 提交 到 NAS 服务 器 ,然后 由 NAS 服务 器 控制 磁盘 阵 
列 、 磁 带 机 进行 数据 备份 。 这 样 进行 数据 备份 的 好 处 是 NAS 服务 器 可 以 将 数据 直接 从 本 
地 硬盘 移 到 磁带 库 , 从 而 避免 占用 生产 主机 的 资源 ,这 也 就 是 所 谓 的 无 服务 器 备份 。 
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图 7-4 NAS 备份 方案 


CA 的 NAS 备份 方 案 可 显著 提高 备份 的 速度 ,确保 客户 的 关键 数据 资产 一 天 24 小 时 X 
一 周 7 天 可 用 。 同 时 它 还 具有 领先 的 集中 管理 和 报告 功能 ,使 管理 员 可 以 更 加 主动 地 去 管 
理 数 据 备 份 和 存储 过 程 ,提高 管理 的 效率 。 此 外 ,该 方案 还 具有 很 好 的 可 扩展 性 ,可 满足 企 
业 不 断 扩 展 的 业务 需求 。 

(3) SAN 备份 方案 

与 LAN、NAS 相 比 ,SAN 可 以 更 好 地 满足 企业 对 存储 设备 的 性 能 、 可 用 性 ,可 扩展 性 ， 
以 及 灵活 性 的 要 求 。CA 的 SAN 方案 可 以 为 企业 更 好 地 管理 SAN 架构 提供 许多 先进 的 管 
理 功 能 ,包括 自动 的 SAN 架构 发 现 .SAN 设备 的 访问 和 控制 .先进 的 SAN 可 视 化 管理 ,以 
及 其 他 存储 管理 功能 的 集成 等 。 如 图 7-5 所 示 为 一 个 典型 的 SAN 备份 方案 ,在 该 方案 中 ， 
BrightStor Enterprise Backup, BrightStor ARCserve Backup、BrightStor Mobile Backup 等 
备份 软件 安装 在 生产 主机 和 工作 站 上 。 生 产 主机 上 的 数据 会 通过 光纤 协议 集中 到 一 个 
SAN 交换 机 上 ,然后 由 该 交换 机 把 数据 转移 到 路 由 器 上 ,再 由 路 由 器 来 控制 磁带 库 进行 数 
据 备份 ,或 直接 由 交换 机 控制 磁带 库 进 行 备份 。 

从 这 个 方案 可 以 看 出 ,CA 的 SAN 备份 方案 可 以 将 众多 的 服务 器 和 工作 站 进行 集中 
管理 ,从 而 降低 存储 管理 的 成 本 .并且 可 以 将 备份 数据 流 从 LAN 迁移 到 SAN, 从 而 缩短 
备份 /恢复 时 间 并 减少 LAN 的 拥挤 ,提高 备份 的 效率 。 该 方案 还 具有 几乎 无 限 的 可 扩展 
性 ,使 客户 可 以 根据 业务 发 展 需求 方便 地 进行 扩展 ,最 大 限度 地 利用 他 们 在 存储 设备 上 
的 投资 。 
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图 7-5 SAN 备份 方案 


7.5 本 章 小 结 


章 介绍 了 信息 安全 管理 的 相关 知识 ,首先 介绍 了 信息 安全 管理 的 概念 ,包括 信息 安 
te oho pr 然后 介绍 了 使 用 环境 的 安全 管理 ,对 安全 环境 
诸 要 素 进 行 了 讨论 ; 数据 存 取 和 容 灾 管 理 是 信息 安全 管理 中 的 重要 内 容 , 最 后 对 数据 存 取 
控制 和 容 灾 管 理 方案 进行 了 介绍 。 

通过 本 章 的 学 习 , 需 要 了 解 信息 安全 的 威胁 因素 和 安全 措施 ; 理解 安全 管理 的 重要 性 、 
策略 和 方法 ; 掌握 数据 存 取 和 容 灾 的 应 用 技术 。 


习 题 7 


一 、 选 择 题 
1. 一 般 认 为 ,目前 网 络 信息 安全 面临 的 威胁 主要 表现 在 ( ) 三 大 类 。 

A. 信息 泄露 B. 信息 欺骗 C. 拒绝 服务 D. 信息 破坏 
2. 信息 安全 的 特征 不 包括 ( Ds 

A. 保密 性 B. 完整 性 C. 可 用 性 D. 标准 性 
3. 计算 机 网 络 安全 措施 包括 保护 网 络 安全 保护 应 用 安全 和 ( ) 三 方面 。 

A. 保护 系统 安全 B. 保护 设备 安全 

C. 保护 目录 安全 D. 保护 文件 安全 


4. 数字 签名 机 制 提供 了 一 种 鉴别 方法 ,以 解决 ( ) 等 问题 。 
A. 伪造 B. 抵赖 C. 冒充 D. 算 改 


5. 数字 证 书 的 最 主要 构成 包括 一 个 用 户 公 钥 、 密 钥 所 有 者 的 ( ) ,以 及 被 信任 的 第 


三 方 签名 。 
A. 私 钥 B. 算法 
C. 身份 标识 符 D. 身份 等 级 信息 
6. 如 果 把 文件 夹 的 安全 属性 设 为 “只 读 ”, 这 种 访问 控制 方式 为 ( 
A. 目录 B. 属性 C. 入 网 D. 操作 权限 
二 、 简 答题 


1. 什么 是 信息 安全 和 信息 安全 管理 ? 

2. 信息 安全 的 威胁 有 哪些 ? 

3. 如 何 理解 信息 安全 的 重要 性 ? 

4. 访问 控制 策略 有 哪些 ? 

5. 什么 是 容 灾 管 理 ? 

6. 使 用 环境 的 安全 管理 包括 哪些 内 容 ? 

7. 什么 是 DASNAS 和 SAN? 

8. 在 Windows Server 2003 中 实现 备份 功能 ,包括 活动 目录 、 服 务 状态 信息 、 磁 盘 配 额 、 
注册 表 、IIS.DHCP、DNS、WINS 等 内 容 的 备份 。 


第 8 章 网 络 管 理 


目前 ,网 络 系统 的 维护 与 管理 工作 变 得 日 趋 繁杂 , 仅 靠 人 工 管理 的 方法 是 无 法 可 靠 . 迅 速 
地 保障 网 络 的 正常 运行 的 。 因 此 迫切 需要 用 计算 机 ,也 就 是 网 络 管理 系统 来 进行 网 络 管理 。 


8.1 网 络 管理 系统 


8.1.1 网 络 管理 系统 概述 


1. 网 络 管理 系统 的 概念 

网 络 管理 系统 就 是 实现 网 络 管理 的 各 种 功能 的 软 、 硬 件 系 统 , 它 可 以 是 一 个 计算 机 系 
统 ,也 可 以 是 一 个 网 络 化 系统 。 网 络 管理 的 对 象 一 般 包括 路 由 器 、 交 换 机 、hub 等 。 近 年 来 ， 
网 络 管理 对 象 有 扩大 化 的 趋势 , 即 把 网 络 中 几乎 所 有 的 实体 ,如 网 络 设备 、 应 用 程序 、 服 务 器 
系统 、 辅 助 设备 (如 UPS 电源 ) 等 都 作为 被 管理 对 象 。 网 络 管理 系统 可 以 给 管理 员 提 供 一 个 
全 面 系统 的 网 络 视图 。 

2. 网 络 管理 系统 的 分 类 

网 络 管理 系统 软件 并 没有 完全 统一 的 分 类 标准 ,总 体 来 说 ,网 络 管理 软件 可 以 有 以 下 几 
种 分 类 标准 。 

(1) 按照 发 展 历史 分 类 

根据 网 络 管理 系统 的 发 展 历史 ,可 以 划分 为 三 代 。 

第 一 代 网 络 管理 系统 就 是 最 常用 的 命令 行 方 式 ,并 结合 一 些 简单 的 网 络 监 测 工具 , 它 不 
仅 要 求 使 用 者 精通 网 络 的 原理 及 概念 ,还 要 求 使 用 者 了 解 不 同 厂 商 的 不 同 网 络 设备 的 配置 
方法 。 如 路 由 器 和 智能 交换 机 中 的 配置 和 管理 命令 。 

第 二 代 网 络 管理 系统 有 着 良好 的 图 形 化 界面 ,用 户 无 须 过 多 了 解 设 备 的 配置 方法 ,就 能 
图 形 化 地 对 多 台 设 备 同时 进行 配置 和 监控 ,大 大 提高 了 工作 效率 ,但 仍然 存在 由 于 人 为 因素 
造成 的 设备 功能 使 用 不 全 面 或 不 正确 的 问题 ,容易 引发 误 操作 。 

第 三 代 网 络 管理 系统 相对 来 说 比较 智能 ,是 真正 将 网 络 和 管理 进行 有 机 结合 的 软件 系 
统 , 具 有 “自动 配置 "和 “自动 调整 功能。 而且 通 常 是 采用 B/S 架构 ,一 方面 可 实现 远程 管 
理 , 男 一 方面 实现 起 来 非常 容易 ,只 要 有 浏览 器 即 可 。 对 网 管 人 员 来 说 ,只 要 把 用 户 情况 . 设 
备 情况 以 及 用 户 与 网 络 资源 之 间 的 分 配 关 系 输入 网 络 管理 系统 ,系统 就 能 自动 地 建立 图 形 
化 的 人 员 与 网 络 的 配置 关系 ,并 自动 鉴别 用 户 身份 ,分 配 用 户 所 需 的 资源 。 

(2) 按照 管理 对 象 分 类 

目前 常用 的 网 络 管理 软件 可 分 为 两 大 类 ,主要 根据 管理 对 象 划分 , 即 通用 网 络 管理 软件 


和 网 元 (网 络 设备 ) 管 理 软件 两 大 类 。 网 元 管理 软件 只 管理 单独 的 网 元 (如 交换 机 、 路 由 器 、 
服务 器 等 ) ,通用 网 络 管理 软件 的 管理 目标 则 是 整个 网 络 。 

网 元 管理 软件 一 般 由 设备 厂商 提供 ,各 厂商 采用 专 有 的 管理 MIB 库 , 以 实现 对 厂商 设 
备 本 身 的 细致 入 微 的 管理 ,包括 可 以 显示 出 厂商 设备 图 形 化 的 面板 等 ,如 安奈 特 公司 的 
AT-View Plus .思科 公司 的 Cisco View 和 华为 网 络 公 司 的 Quidview 等 。 

通用 网 络 管理 软件 则 主要 用 于 掌握 全 网 的 状况 ,作为 底层 的 网 管 平台 来 服务 于 上 层 的 
网 元 管理 软件 等 。 如 安奈 特 公司 的 AT-SNMPc, 可 以 提供 一 个 第 三 方 的 网 管 平台 ,支持 对 
所 有 SNMP 设备 的 发 现 和 监控 ,可 集成 厂商 设备 的 私有 MIB 库 ,实现 对 全 网 设备 的 统一 识 
别 和 管理 。 从 而 避免 了 厂商 专用 型 网 络 管理 系统 无 法 实现 对 全 网 设备 的 统一 管理 ,用 户 往 
往 采用 多 台 网 管 工作 站 分 别 安装 不 同 的 系统 ,进行 分 别管 理 的 局 限 性 ,有 利于 简化 管理 和 降 
低 成 本 。 这 类 产品 还 有 惠普 公司 的 HP OpenView、CA 公司 的 Unicenter、IBM 公司 的 
Tivoli NetView 等 。 国 内 的 如 游 龙 科技 的 SiteView、 网 强 信 息 技术 公司 的 网 强 网 管 等 。 

(3) 按照 管理 范畴 分 类 

从 网 络 管理 的 范畴 来 分 类 ,又 可 分 为 对 网 “路 ”的 管理 ( 即 针对 交换 机 、 路 由 器 等 主干 网 
络 进行 管理 )、 对 接 人 设备 的 管理 ( 即 对 内 部 PC、 服 务 器 、 交 换 机 等 进行 管理 ) 、 对 行为 的 管理 
( 即 针对 用 户 的 使 用 进行 管理 ) 、 对 资产 的 管理 ( 即 统 计 网 络 系统 软 ,硬件 信息 ) 进 行 管理 等 。 

(4) 按照 管理 功能 分 类 

根据 国际 标准 化 组 织 的 定义 ,网 络 管理 有 5 大 功能 : 故障 管理 ,配置 管理 ,性 能 管理 , 安 
全 管理 , 计 费 管理 。 根 据 网 络 管理 软件 产品 功能 的 不 同 ,又 可 细 分 为 5 类: 网 络 故障 管理 软 
件 , 网 络 配置 管理 软件 ,网 络 性 能 管理 软件 ,网 络 服务 /安全 管理 软件 ,网 络 计 费 管理 软件 。 
不 过 ,其 实现 在 大 多 数 网 络 管理 软件 都 是 以 上 部 分 或 全 部 功能 的 集合 ,单一 功能 的 比较 
少见 。 


8.1.2 网 络 管理 系 统 的 结构 与 组 成 


1. 网 络 管理 系统 的 逻辑 组 成 

从 逻辑 上 ,网 络 管理 系统 可 以 分 为 管理 对 象 .管理 进程 ,管理 信息 库 和 管理 协议 4 个 部 
分 ; 从 逻辑 位 置 来 说 ,可 以 划分 为 网 内 的 网 络 管理 系统 和 网 外 的 网 络 管理 系统 , 即 网 络 管理 
系统 置 于 被 管 网 络 之 内 或 之 外 。 

(1) 管理 对 象 是 经 过 抽象 的 网 络 元 素 , 对 应 于 网 络 中 具体 可 以 操作 的 数据 ,如 记录 设备 
或 设施 工作 状态 的 状态 变量 .设备 内 部 的 工作 参数 .设备 内 部 用 来 表示 性 能 的 统计 参数 等 。 

(2) 进程 管理 是 负责 对 网 络 中 的 设备 和 设施 进行 全 面 的 管理 和 控制 的 软件 ,根据 网 络 
中 各 个 管理 对 象 的 变化 来 决定 对 不 同 的 管理 对 象 采取 不 同 的 操作 。 

(3) 管理 信息 库 用 于 记录 网 络 中 管理 对 象 的 信息 ,如 状态 类 对 象 的 状态 代码 ,参数 类 对 
象 的 数值 等 。 它 要 与 网 络 设备 中 的 实际 状态 和 参数 保持 一 致 ,能 够 真实 地 、 全 面 地 反映 网 络 
设备 或 设施 的 情况 。 

(4) 管理 协议 负责 在 管理 系统 与 管理 对 象 之 间 传 递 操作 命令 ,并 负责 解释 管理 操作 命 
令 。 实 际 上 ,管理 协议 也 就 是 保证 管理 信息 库 中 的 数据 与 具体 设备 中 的 实际 状态 、 工 作 参 数 
保持 一 致 。 

网 络 管理 系统 的 功能 按 作 用 分 为 以 下 三 个 部 分 : 


网 络 管 


地 co 趴 


网 络 管 理 挫 太 教 程 


。 操作 : 包括 系统 配置 .运行 状态 显示 、 操 作 控制 .告警 统计 、 数 据 的 收集 和 存储 、 安 
全 控制 等 。 

。 管理 : 包括 网 络 配置 .软件 管理 , 计 费 和 账单 生成 、 服 务 分 配 .数据 收集 、 网 络 数据 报 
告 .可 用 性 分 析 、 性 能 分 析 、 支 持 工具 和 人 员 ,资产 .规划 管理 等 。 

。 维护 : 包括 网 络 测试 .故障 告警 .统计 报告 .故障 定位 、 服 务 恢复 等 。 

网 络 管理 系统 的 组 织 如 图 8-1 所 示 。 


管理 系统 被 管 系统 


图 8-1 网 络 管理 系统 的 逻辑 组 成 


2. 网 络 管理 系统 的 结构 
一 个 网 络 管理 系统 通常 包括 网 络 中 各 种 参数 的 测试 与 采集 、 信 息 组 织 与 管理 ,功能 设 


置 、 网 络 管理 的 决策 与 操作 应 用 等 ,它们 间 的 关系 如 图 8-2 管理 决策 与 操作 

所 示 。 
(1) 网 络 系统 参数 的 测试 与 采集 网 络 管 理 系统 功能 的 设 时 
每 一 个 层次 都 对 上 一 个 层次 提供 支持 服务 ,但 是 网 络 信 

息 的 生成 是 网 络 管理 系统 的 基础 。 网 络 参数 是 网 络 各 种 条 件 [TELEI 

和 各 种 状态 的 反映 ,从 这 些 参数 可 以 获得 网 络 的 状态 特性 , 因 

此 网 络 参数 的 获得 是 网 络 管理 的 重要 步 又 。 RE 
获得 网 络 参 数 的 方式 是 多 种 多 样 的 ,一 般 情况 下 诸如 配 

置 . 数 量 .运行 条 件 等 静态 信息 是 比较 容易 获得 的 ,要 获得 网 

络 运 行 的 动态 信息 需要 对 网 络 进行 测试 ,并 进行 相应 的 计算 网 络 系统 

和 处 理 后 方 可 得 到 。 


图 8-2 网 络 管理 系统 组 成 


(2) 管理 信息 的 组 织 与 管理 部 分 的 结构 关系 


MIB 是 用 于 网 络 管理 功能 实现 的 信息 集合 。 在 MIB 中 ， 
被 管理 网 络 和 其 管理 信息 通常 用 被 管 对 象 来 表示 。 被 管 对 象 包含 着 关于 网 络 及 被 管 对 象 相 
应 管理 行为 和 作用 的 信息 。MIB 提供 了 执行 查询 、 实 现 被 管 对 象 操作 、 处 理事 件 管理 及 建 
立 被 管 对 象 间 关 系 的 信息 基础 。 管 理 员 通过 查询 MIB 中 的 内 容 就 可 获得 有 关 设 备 和 系统 
的 各 种 状态 信息 。 

MIB 一 般 包 括 三 个 部 分 , 即 访问 服务 、 构 造 服务 和 支持 服务 。 构 造 服务 建立 在 支持 服 
务 之 上 ,访问 服务 又 是 建立 在 构造 服务 之 上 的 。 

访问 服务 主要 提供 访问 MIB 中 被 管 对 象 信息 的 编程 接口 ; 构造 服务 提供 将 管理 应 用 
中 被 管 资源 表示 成 被 管 对 象 的 定义 手段 ; 支持 服务 提供 MIB 的 永久 存储 及 资源 的 管理 。 


(3) 网 络 管理 系统 功能 的 设置 

网 络 管理 系统 是 由 多 个 子 系统 组 成 的 ,而 这 些 子 系统 是 具有 各 种 不 同 功能 的 集合 ,建立 
网 络 管理 系统 之 前 ,必须 确立 各 个 网 络 管理 子 系统 功能 的 集合 。 而 网 络 管理 系统 功能 的 确 
定 通常 通过 网 络 管理 需求 分 析 、 子 网 生存 状态 和 网 元 结构 状态 、 被 管 对 象 的 管理 信息 基础 和 
条 件 、 各 子 系统 间 的 关系 等 方面 来 确定 。 

3. 网 络 管理 系统 的 组 成 

从 网 络 管理 功能 的 应 用 角度 来 看 ,网 络 管理 系统 由 管理 应 用 和 底层 服务 软件 系统 组 成 ， 
如 图 8-3 所 示 。 
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图 8-3 网 络 管理 系统 组 成 实例 


(1) 图 形 化 用 户 界面 (GUI) 
用 户 界面 (User Interface,UI) 是 指 网 络 管理 员 与 设备 间 的 接口 , 它 涉及 所 有 的 输入 输 
出 方式 。 图 形 化 用 户 界面 (Graphical User Interface,GUD) 是 指 采 用 图 形 方式 显示 的 计算 机 
操作 用 户 接口 。 与 早期 计算 机 使 用 的 命令 行 界面 相 比 ,图 形 界面 对 于 用 户 来 说 在 视觉 上 更 
易于 接受 。 
GUI 可 以 提供 文本 /图 形 方 式 的 信息 交流 ,使 管理 员 尽 可 能 自然 地 控制 管理 应 用 ,有 利 
于 以 直观 的 方式 从 网 络 管理 系统 有 效 地 得 到 管理 信息 。 它 是 网 络 管理 系统 中 直接 面向 网 管用 
户 的 软件 系统 ,网 络 管理 应 用 与 图 形 化 用 户 界面 的 结合 ,构成 了 相应 的 网 络 图 形 化 管理 工具 。 
(2) 网 络 通信 接口 (NCD 
网 络 通信 接口 提供 被 管 网 络 与 管理 系统 间 的 通信 , 它 是 一 个 分 层 结构 。 
。 协议 栈 : 建立 并 维护 网 络 系统 与 被 管 元 素 间 的 通信 和 链 路 ,促使 管理 信息 的 正常 
。 报 文 拆 装 : 实现 管理 报 文 与 协议 栈 所 支持 的 最 大 长 度 的 报 文 间 的 匹配 及 转换 ,屏蔽 
不 同 网 络 环境 对 管理 应 用 的 影响 。 
。 报 文 格式 转换 : 实现 报 文 传输 格式 与 网 络 管理 系统 内 部 报 文 处 理 格式 间 的 转换 。 
(3) 管理 信息 通信 服务 (MICS) 3 
管理 信息 通信 服务 提供 网 管 系统 元 素 的 连通 性 。 利 用 它 作为 下 层 结构 可 实现 网 管 系统 “| 章 


网 络 营 理 
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中 被 管 对 象 之 间 的 相互 通信 。 它 可 以 分 为 以 下 几 类 

。 管理 信息 服务 : 提供 与 被 管 对 象 进行 交互 的 基础 ,这 些 交 互 包括 报 文 读 取 、 设 置 、 删 
除 、 送 达 等 。 
应 用 实体 通信 服务 : 提供 对 管理 进程 内 外 对 象 的 访问 ,可 以 透明 地 访问 任意 MIB 中 
的 对 象 。 
进程 间 通信 : 利用 计算 机 及 网 络 操作 系统 的 功能 ,提供 管理 进程 间 通 信 的 能 力 和 
方式 。 

4. 网 络 管理 功能 间 的 关系 

从 1.4 节 可 知 ,根据 国际 标准 化 组 织 的 定义 ,一 个 专业 的 网 络 管理 系统 应 包括 配置 管 
理 , 故 障 管理 ,性 能 管理 ,安全 管理 和 计 费 管理 5 个 方面 的 基本 管理 功能 。 

网 络 功能 本 身 不 是 孤立 的 ,完成 一 项 网 络 管理 功能 往往 也 需要 其 他 管理 功能 的 配合 ,网 
络 管理 者 、 网 络 设备 供应 商 、 网 络 用 户 与 网 络 管理 功能 之 间 有 密切 的 关系 。 

(1) 故障 管理 与 其 他 功能 的 关系 

故障 管理 需要 从 性 能 管理 得 到 当前 的 运行 分 析 结 果 ; 从 配置 数据 库 得 到 设备 配置 信 
息 。 利 用 上 述 信息 和 网 络 的 事故 报告 ,一旦 确认 发 生 故 障 ,通过 配置 管理 来 修改 配置 参数 ， 
启动 恢复 行动 ,修复 .替换 或 隔离 故障 部 件 。 将 网 络 故 障 情 况 作 为 网 络 状 态 数 据 移交 性 能 管 
理 , 以 分 析 计 算 网 络 的 可 用 性 参数 。 故 障 处 理 结果 将 向 网 络 管理 者 报告 ,有 关 用 户 也 可 以 了 
解 到 故障 发 生 的 原因 、 处 理 结果 以 及 应 采取 的 措施 或 建议 ,如 图 8-4 所 示 。 
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图 8-4 故障 管理 与 其 他 功能 的 关系 


(2) 配置 管理 与 其 他 功能 的 关系 

配置 管理 包括 资源 配置 和 业务 配置 两 方面 。 资 源 配置 通过 资产 管理 从 供应 商 那里 得 到 
硬件 设备 和 软件 版 本 ,从 性 能 管理 和 规划 管理 得 到 或 增加 网 络 资源 请 示 , 从 故障 管理 获得 为 
修复 故障 而 重新 配置 资源 的 要 求 ,从 业务 管理 得 到 资源 调整 的 请 求 ,从 配置 数据 库 得 到 当 
前 的 资源 配置 。 为 实现 新 的 资源 配置 ,资源 配置 向 资产 管理 申请 额外 的 资源 ,如 图 8-5 
所 示 。 
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8-5 资源 管理 与 其 他 功能 的 关系 


业务 配置 从 规划 管理 得 到 新 的 业务 订单 ,从 故障 管理 得 到 业务 配置 故障 的 通知 ,与 网 络 
用 户 协商 配置 业务 。 业 务 管 理 将 通知 计 费 管理 对 新 的 业务 计 费 ,通知 故障 管理 对 新 配置 的 
业务 进行 使 用 前 的 验证 测试 ,业务 配置 把 用 户 占 用 的 设备 设施 和 分 担 的 成 本 情况 反馈 给 资 


产 管 理 , 如 图 8-6 所 示 。 
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图 8-6 业务 管理 与 其 他 功能 的 关系 


(3) 性 能 管理 与 其 他 功能 的 关系 
性 能 管理 从 网 络 管理 机 构 获 取 当 前 网 络 运行 的 指标 ,从 网 络 用 户 获取 查询 申请 信息 ,从 
计 费 管理 得 到 用 户 使 用 网 络 的 详细 记录 ,利用 收集 的 统计 数据 和 故障 管理 检测 的 可 用 性 数 
据 , 计 算 网 络 性 能 参数 。 一 旦 出 现 危 险 状态 则 向 故障 管理 示警 。 如 果 用 户 有 查询 的 请 求 , 则 
向 用 户 反 馈 ,并 将 运行 性 能 的 报告 提交 给 网 络 管理 机 构 。 此 外 ,规划 管理 从 性 能 管理 中 获得 
运行 的 数据 ,能 够 实时 了 解 网 络 的 综合 状况 ,以 便 有 针对 性 地 进行 相应 的 调整 和 规划 ,如 图 8-7 
所 示 。 
(4) 计 费 管理 与 其 他 功能 的 关系 
计 费 管理 从 网 络 管理 机 构 获 得 资费 政策 ,从 业务 配置 得 到 用 户 使 用 的 业务 情况 ,从 资产 | 第 
管理 得 到 用 户 占 用 的 设备 设施 和 分 担 的 成 本 ,从 安全 管理 得 到 用 户 的 预定 义 的 文件 ,从 网 络 8 
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图 8-7 性 能 管理 与 其 他 功能 的 关系 


用 户 得 到 查询 请 求 ,利用 收集 的 计 费 记录 ,计算 出 每 个 用 户 的 费用 ,然后 将 账单 反馈 给 网 络 


用 户 , 如 


(5) 


图 8-8 所 示 。 
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图 8-8 计 费 管理 与 其 他 功能 的 关系 
安全 管理 与 其 他 功能 的 关系 


安全 管理 涉及 网 络 的 所 有 功能 ,是 为 实现 安全 目标 而 进行 的 有 关 决 策 、 计 划 、 组 织 和 控 
制 等 方面 的 活动 。 运 用 现代 安全 管理 原理 、 方 法 和 手段 ,分 析 和 研究 各 种 不 安全 因素 ,从 技 


术 上 ,组 


织 上 和 管理 上 采取 有 力 的 措施 ,解决 和 消除 各 种 不 安全 因素 ,防止 事故 的 发 生 。 安 


全 管理 的 主要 任务 是 防止 非法 用 户 对 资源 的 访问 ,安全 管理 与 其 他 功能 的 关系 如 图 8-9 


所 示 。 


此 外 ,规划 管理 ,资产 管理 和 人 员 管 理 也 影响 网 络 管理 的 五 大 功能 。 网 络 规划 是 将 网 络 
服务 的 商业 策略 转化 为 一 套 经 济 有效 的 计划 ,去 配置 和 拓展 被 管理 的 网 络 。 网 络 规划 管理 


就 是 建立 


网 络 的 结构 和 配置 ,其 结果 直接 影响 着 网 络 管理 的 其 他 功能 ,合理 的 规划 有 利于 网 


络 管理 的 进行 ,否则 将 影响 网 络 正常 稳定 、 安 全 地 运行 。 资 产 管理 主要 是 指 对 网 络 有 关 设 


备 、 设 施 


以 及 网 络 操 作 的 人 员 进 行 登记 、 维 护 和 查阅 等 一 系列 工作 ,资产 管理 是 网 络 管理 对 


象 中 的 习 
规划 、 管 


要 部 分 。 人 员 管 理 也 是 网 络 管理 系统 的 一 部 分 ,人 是 网 络 管理 中 的 决定 因素 ,网 络 
理 系统 的 设计 、 网 络 管理 决策 和 操作 等 的 结果 都 与 管理 人 员 的 素质 休戚 相关 。 
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图 8-9 安全 管理 与 其 他 功能 的 关系 


8.2 常用 网 络 管理 工具 


常用 的 网 络 管理 工具 有 很 多 种 ,如 链 路 测试 ,网 络 查看 、 网 络 诊断 .服务 器 监控 ,设备 管 
理 、 远 程控 制 等 工具 。 本 节 将 介绍 几 种 实用 的 管理 工具 。 


8.2.1 服务 器 监控 工具 


1. 服务 器 监控 工具 的 功能 

服务 器 在 运行 的 过 程 中 可 能 会 出 现 很 多 问题 ,如 硬件 损坏 、 软 件 没有 运行 、 宕 机 等 。 更 
糟糕 的 情况 是 ,服务 器 看 似 运 行 但 实际 上 并 没有 履行 “服务 ”的 功能 。 一 个 企业 所 管理 的 服 
务 器 越 多 ,出现 问题 的 可 能 性 就 越 大 ,服务 器 管理 的 难度 也 就 越 大 。 所 以 很 好 地 监控 服务 器 
的 运行 状态 是 非常 必要 的 。 

监控 工具 所 要 监控 的 内 容 很 多 ,总 体 可 以 分 为 三 大 块 : 监控 服务 器 运行 (运行 状态 )、 监 
控 服 务 器 通信 量 ( 包 括 进 和 出 ) ,监控 服务 器 使 用 结果 (日 志 、 统 计 、 分 析 ) 。 服 务 器 监控 产品 
需要 包含 下 列 功 能 。 

(1) 物理 硬件 监控 : 即 密切 关注 诸如 硬盘 等 部 件 的 温度 .电源 以 及 机 能 。 所 需 监 控 的 
大 都 是 相当 关键 的 部 件 ,它们 一 旦 出 现 故障 就 意味 着 服务 器 死机 。 用 于 监控 硬件 的 软件 也 
都 是 特定 的 ,如 运行 在 IBM 服务 器 上 的 软件 可 能 就 不 能 运行 在 Dell 服务 器 上 。 

(2) 服务 器 性 能 监控 : 即 监控 服务 器 的 CPU 使 用 率 、 可 用 磁盘 空间 、 存 储 等 ,特别 是 在 
服务 器 很 多 的 情况 下 ,这 既 可 以 帮助 发 现 并 修理 故障 ,也 可 以 优化 系统 资源 。 

(3) 服务 监控 : 所 有 的 服务 器 都 运行 着 很 多 服务 ,其 中 很 多 对 于 服务 器 运行 都 是 至 关 重 
要 的 ,如 果 它 们 出 现 问题 , 那 服 务 器 也 就 没有 作用 了 ,所 以 很 多 监控 软件 专门 提供 类 似 服 务 。 

(4) 网 络 监控 : 服务 器 监控 的 很 多 领域 都 会 与 操作 网 络 有 关 , 所 以 网 络 监控 也 经 常 被 
认为 是 监控 软件 的 单独 一 类 。 当 然 ,很 多 通用 服务 器 监控 工具 都 包含 有 这 样 的 功能 。 

总 体 来 说 ,服务 器 监控 软件 种 类 很 多 ,大 多 提供 实时 监控 ,显示 服务 器 的 当前 状态 ,也 提 
供 服 务 器 性 能 的 历史 监控 记录 。 有 的 服务 器 监控 工具 被 包含 在 一 些 大 型 服务 器 管理 套件 
中 ,如 IBM Tivoli\CA Unicenter; 也 有 独立 的 服务 器 监控 工具 ,如 GFI 的 Server Monitor、 
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BMC 的 Server Monitoring and Management 等 。 

2. 服务 器 监控 软件 

NetFox 服务 器 监控 软件 实现 了 对 网 络 及 服务 器 故障 的 即时 监控 报警 功能 ,监控 结果 可 
发 送 到 手机 ,同时 可 接受 手机 发 出 的 指令 修复 系统 错误 。 使 用 该 款 软件 可 以 在 第 一 时 间 得 
知 系统 发 生 的 异常 ,并 可 自动 或 通过 手机 遥控 对 异常 进行 处 理 。 

NetFox 服务 器 监控 软件 能 够 实时 监控 WWW 服务 FTP 服务 .Mail 服务 、 网 卡 、 网 关 、 
CPU 资源 占用 率 、 内 存 使 用 率 、 硬 盘 空 间 、ping 响应 、 服 务 器 心跳 ,文件 状态 等 , 当 检 测 值 达 
到 用 户 设 定 的 报警 阔 值 时 启动 多 种 预制 报警 方式 进行 报警 ,具有 完善 的 设 定 、 搜 索 .日 志 、 
表 及 打印 功能 ,适用 于 各 种 工业 商业、 政府 .教育 .传媒 等 领域 使 用 。 配 合 NetFox 服务 器 
监控 仪 硬件 ,可 实现 更 多 实用 功能 ,其 工作 界面 的 “系统 设置 模块 "如 图 8-10 所 示 。 


FawetFox 9 Series v1.0.313 X 
人 tex Y7 http://www.easin.com 
一 -一 

System 
Web/Pr 克 Windows 启 动 时 自动 运行 厅 禁止 信使 服务 
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邮件 检测 厂 自动 登陆 服务 器 设备 名 : [NetFox 
空间 检测 “| | 用 户 名 : [oa 十 码 = ] 
发 送 时 间 


Talam 
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[za | ro 5 Fox3 区 Fox4 5 Fox5 
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图 8-10 ”NetFox 服务 器 监控 软件 


3. 服务 器 监控 网 站 
服务 器 监控 网 站 有 HyperSpin (http://www. hyperspin. com ) 、Dotcom-Monitor 
(http://www. dotcom-monitor. com)、 网 站 保姆 (http ://bm. chinaz. com) 、Uptime. com. cn 
(http://www. uptime. com. cn) host-tracker(http://host-tracker. com) .Gomez (http:// 
www,. gomez. com) ,Site24 X 7 (http://www. site24x7. com). SiteUptime (http://www. 
siteuptime. com) 等 。 以 HyperSpin 网 站 为 例 , 该 网 站 的 功能 如 下 : 
。 24X7X365 全 年 不 间断 监测 站 点 是 否 正常 运行 。 
。 支持 多 种 通信 协议 ; 支持 ping、 HTTP、HTTPS,、FTP、SSH、SMTP、DNS、POP3、 
IMAP、MySQL 和 其 他 标准 的 TCP/IP 应 用 服务 。 
。 具有 停机 通知 功能 ,一 旦 站 点 或 服务 器 不 能 访问 ,会 第 一 时 间 通 过 电子 邮件 与 手机 
短信 通知 。 
。 全 球 多 个 监测 基点 ,可 对 站 点 在 全 球 范 围 内 进行 监测 ,不仅 监测 站 点 是 否 在 运行 ,而 
且 还 能 检测 来 自 全球 各 地 的 客户 能 和 否 访问 站 点 。 
。 提供 实时 运行 状态 报告 。 
。 当 服 务 器 停机 时 ,可 自动 发 出 请 求 重启 或 其 他 要 求 的 电子 邮件 。 


在 线 时 间 与 性 能 报告 。 

尽量 减少 虚报 ,聘请 高 级 工程 师 为 客户 核实 真 伪 警 报 。 

计划 监测 任务 。 用 户 可 以 设置 (一 次 性 或 循环 多 次 ) 维 护 计划 。 

。 免 费 整 合 数据 ,如 有 使 用 其 他 的 监测 服务 ,可 以 导入 到 客户 新 的 账户 里 。 
HyperSpin 首页 如 图 8-11 所 示 , 这 里 输入 的 是 新 浪 的 网 址 , 单 击 “ 监 测 ” 按 钮 即 可 进行 监测 。 
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图 8-11 HyperSpin 网 站 主页 面 


监测 的 结果 如 图 8-12 所 示 。 
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图 8-12 HyperSpin 网 站 测试 结果 页 面 
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8.2.2 网 络 性 能 监控 工具 


网 络 性 能 决定 着 网 络 服务 的 质量 ,因此 对 响应 时 间 、 网 络 延 迟 、 延 迟 变 化 .吞吐 量 、 链 路 
利用 率 、 资 源 利 用 率 、 丢 包 率 、 可 用 性 和 可 靠 性 等 网 络 性 能 指标 的 监控 具有 非常 重要 的 现实 
意义 。 对 网 络 性 能 进行 测量 、 分 析 、 评 价 、 控 制 和 调整 ,有 利于 对 网 络 运 行 状况 进行 实时 监 
测 有 利于 网 络 的 进一步 合理 规划 和 优化 等 。 下 面 以 吞吐 量 测试 工具 QCheck 3. 0 为 例 说 
明 网 络 性 能 监控 的 方法 。 

网 络 性 能 不 仅 与 交换 和 路 由 设备 的 性 能 相关 ,而 且 与 线路 质量 也 有 很 大 关系 ,使 用 
QCheck 可 以 测试 网 络 性 能 。QCheck 是 一 款 免 费 网 络 测试 软件 ,主要 功能 是 向 TCP、 
UDP.、IPX、SPX 网 络 发 送 数 据 流 来 测试 网 络 的 吞吐 率 、 回 应 时 间 等 ,从 而 测试 网 络 的 响应 时 
间 和 数据 传输 率 。 

测试 时 需要 使 用 两 台 计算 机 ,并 且 均 需 运行 QCheck 软件 。 在 测试 中 ,从 一 个 客户 端 向 
另 一 个 客户 端 发 送 文件 ,然后 测试 所 消耗 的 时 间 ,并 计算 出 传输 速率 (以 Mbps 为 单位 )。 例 
如 TCP/UDP 传输 率 测试 ,测试 结果 越 高 越 好 ,100Mbps 端口 的 理论 值 最 高 为 94Mbps( 传 
输 率 )。 

1， 运行 QCheck 

在 要 测试 的 网 络 两 端 分 别 运行 一 台 计 算 机 ,这 两 台 计 算 机 均 安 装 QCheck 软件 ,然后 分 
别 运行 QCheck 程序 ,如 图 8-13 所 示 为 QCheck 主 界面 。 

在 QCheck 界面 上 方 “From Endpoint 1 表示 要 发 送 数据 


的 节点 ;“To Endpoint 2" 表 示 要 将 数据 发 送 到 的 节点 。 下 方 有 ”人 0 二 
几 个 圆 形 按钮 , 左 侧 "Protocol” 内 的 绿色 按钮 表示 可 以 使 用 的 B73 pvp 
协议 类 型 ,包括 TCP、UDP、SPX 和 IPX。 右 侧 *Options” 内 的 | 得 
棕色 按钮 表示 可 以 测试 的 项 目 ,并 且 不 同 的 项 目 适用 于 不 同 的 - 六 了 oo 
协议 : 


。 Response Time( 响 应 时 间 ) 可 以 测试 响应 的 最 短 、 平 均 
与 最 长 时 间 ,该 测试 适用 于 所 有 协议 。 
。 Throughput( 春 吐 量 ) 用 来 测试 每 秒 发 送 的 数据 量 ,以 测 
试 网 络 带宽 。 该 测试 适用 于 所 有 协议 。 
Streaming( 流 ) 用 来 测试 串 流传 输 速率 ,如 多 媒体 流 的 
带宽 ,该 测试 只 适用 于 UDP 和 IPX 协议 。 
。 Traceroute( 路 由 追踪 ) 相 当 于 Windows 中 的 Tracert 命令 ,用 来 测试 一 台 计 算 机 到 
另 一 台 计算 机 所 经 过 的 路 由 ,该 测试 只 适用 于 TCP 和 UDP 协议。 
在 进行 测试 时 ,首先 需要 单 击 左 侧 相应 的 按钮 来 选择 要 测试 的 协议 ,然后 在 右 侧 单 击 选 
中 所 要 使 用 的 测试 类 型 ,再 单 击 Run 按钮 即 可 开始 测试 ,测试 完成 以 后 会 在 下 面 的 黑色 框 
中 显示 测试 结果 ,并 可 以 单 击 Details 按钮 查看 详细 信息 。 
2. 测试 TCP 响应 时 间 
TCP 响应 时 间 测 试 可 以 测 得 完成 TCP 通信 的 最 短 、 平 均 与 最 长 时 间 。 这 个 测试 类 似 
于 ping 命令 ,可 以 让 用 户 知道 到 达 另 一 台 计 算 机 所 需要 的 时 间 。 这 个 测量 一 般 称 为 “延缓 ” 
或 者 “延迟 ”。 


图 8-13 QCheck 主 界面 


在 QCheck 主 界面 中 ,在 From Endpoint 1 下 拉 列 表 框 中 
选择 localhost 选项 ,表示 从 本 地 计算 机 发 送 测试 ,在 To 
Endpoint 2 下 拉 列 表 框 中 输入 目标 计算 机 IP 地 址 ; 在 Ta 
Protocol 中 单 击 选中 TCP 按钮 ,在 Options 中 单 击 选中 
Response Time 按钮 ; 在 Iterations 文本 框 中 输入 重复 测试 的 次 
数 , 默 认为 3 次 ; 在 Data Size 文本 框 中 输入 要 发 送 的 数据 包 的 
大 小 ,默认 为 100 bytes。 完 成 后 单 击 Run 按钮 ,QCheck 便 开 始 
测试 ,测试 完成 后 ,在 Response Time Results 文本 框 中 显示 出 测 
试 结果 ,如 Minimum、Average 与 Maximum 时 间 , 如 图 8-14 所 示 。 

如 果 想 查看 更 详细 的 信息 ,可 以 单 击 Details 按钮 ,打开 
QCheck Results 窗口 ,如 图 8-15 所 示 , 该 窗口 中 显示 了 设置 
信息 、 测 试 结果 、 本 地 计算 机 与 目标 计算 机 的 系统 信息 以 及 
QCheck 的 版 本 信息 等 。 


图 8-14 测试 TCP 响应 时 间 
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图 8-15 QCheck Results 


3. 测试 网 络 带宽 

要 测试 从 本 地 计算 机 到 目标 计算 机 之 间 的 网 络 带宽 ,可 以 使 用 TCP Throughput 测试 ， 
这 项 测试 可 以 测量 出 两 个 节点 间 使 用 TCP 协议 时 ,每 秒 钟 成 功 发 送 的 数据 量 。 

在 QCheck 窗口 中 ,在 From Endpoint 1 下 拉 列 表 框 中 选择 localhost ,在 To Endpoint 2 
下 拉 列 表 框 中 输入 目标 计算 机 的 卫 地 址 ; 在 Protocol 中 单 击 TCP 按钮 ,在 Options 中 单 击 
Throughput 按钮 ; 在 Data Size 文本 框 中 可 设置 要 发 送 的 数据 包 的 大 小 ,默认 为 100KB, 这 
里 ,设置 为 1000KB。 设 置 完成 后 单 击 Run 按钮 , QCheck 开始 测试 ,测试 完成 后 在 


网 络 管 
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Throughput Results 文本 框 中 显示 出 测试 结果 ,如 图 8-16 所 示 。 这 里 ,测试 出 的 Throughput 
为 800. 008Mbps ,也 就 是 说 ,从 本 地 计算 机 到 目标 计算 机 的 带宽 为 800. 008Mbps。 

在 测试 网 络 带 宽 时 ,往往 会 因为 设备 性 能 、 线 路 质量 等 各 种 因素 的 影响 ,而 使 得 测试 值 
比 实际 值 要 小 。 因 此 ,为 了 求 得 准备 的 结果 ,建议 使 用 多 台 计 算 机 进行 测试 ,一 般 最 大 值 才 
是 网 络 带宽 的 真实 值 。 

4. 串 流 测试 

使 用 QCheck 的 UDP 串 流传 输 率 测试 ,可 以 测试 多 媒体 流 需 要 多 少 频 宽 ,以 方便 网 络 
硬件 速度 和 网 络 所 能 达到 的 真正 数据 传输 率 之 间 的 比较 。 

和 多 媒体 应 用 一 样 , 串 流 测试 会 在 无 连接 的 状况 下 传送 数据 。 在 QCheck 中 ,使 用 无 连 
接 协议 的 IPX 或 者 UDP。QCheck 的 串 流 测试 是 评估 应 用 程序 使 用 串 流 格式 时 的 表现 , 例 
如 IP 线 上 语音 以 及 视频 广播 。 

在 QCheck 主 界面 中 ,在 From Endpoint 1 下 拉 列 表 框 中 选中 localhost 选项 ,表示 从 本 
地 计算 机 发 送 测试 ,在 To Endpoint 2 下 拉 列 表 框 中 输入 目标 计算 机 IP 地 址 ,在 Protocol 
中 单 击 选中 UDP 按钮 ,在 Options 中 单 击 选中 Streaming 按钮 ; 在 Data Rate 文本 框 设置 
数据 传输 速度 ,默认 为 50kbps, 最 大 不 能 超过 1Mbps; 在 Duration 文本 框 中 设置 持续 时 间 ， 
默认 为 10s。 设 置 完成 后 , 单 击 Run 按钮 , QCheck 开始 测试 ,测试 完成 以 后 便 会 在 
Streaming Results 文本 框 中 显示 ,如 图 8-17 所 示 。 


图 8-16 ”测试 网 络 带宽 图 8-17 串 流 测试 


8.2.3 网 络 流量 监控 工具 


网 络 流量 监控 工具 有 很 多 ,如 Bandwidth Meter Pro Net Meter.DU Meter NetLimiter 
2 Monitor 等 。 下 面 以 Bandwidth Meter Pro(http://www. bandwidth-meter. net ) 为 例 进 
行 介绍 。 

Bandwidth Meter Pro 可 以 监视 带宽 的 使 用 情况 ,并且 可 以 为 一 个 或 者 更 多 所 选择 的 网 
络 连接 显示 实时 的 统计 图 表 。 该 软件 还 可 以 生成 每 天 、 每 周 和 每 月 的 报告 ,详细 列 记 带 有 累 
计 带 宽 消 费 量 的 上 传 和 下 载 使 用 情况 。 该 软件 还 包括 一 个 当 在 最 后 若干 秒 之 内 下 载 的 字 节 
少 于 若干 字 节 的 情况 下 发 出 通知 的 选项 ,以 及 一 个 简单 的 连接 职守 和 用 于 导出 报表 为 


.txt、. csv 和 HTML 等 格式 的 选 
观察 上 传 和 下 载 的 实时 速率 。 


(Max: 7.27 kbps) Down: 0 bps Up: 3bps 


项 。 工 作 主 界面 如 图 8-18 所 示 , 可 以 通过 不 同 的 图 像 形式 
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8-18 ”Bandwidth Meter Pro 流量 监控 主 窗口 


1. 配置 界面 


如 图 8-19 所 示 ,在 主 窗口 中 单 击 鼠标 右键 ,并 从 快捷 菜单 中 选择 适 视 图 (View) ,接着 
可 以 继续 进一步 选择 其 他 项 目 进行 相应 的 操作 。 
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Average Downlosd Line CtrltD 
Average VYpload Line 。 CtrlHU 


Text Ctrltx 
Nax Rate Ctrl 柚 
Average Speeds Ctrlty 
KB/sec CtrltB 
1 盏 Draffic Reports... ®| aps vn 
Of Stopaateh. .. Fa 中 如 ways On Top Ctrlth 
Bates Recorder. ws | We Ct 
TCP Connections Fe Cigrtroth Ctrltk 
Mdapters » |v) Seni-transparent Ctrl 
View Windo 一 
Reset Rates 和 
legister... eS 
Buy How 
Help » 
| 


图 8-19 配置 界面 示意 图 
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2. 适配器 选择 


如 图 8-20 所 示 ,在 主 窗口 中 单 击 鼠标 右键 ,从 快捷 菜单 中 选择 适配器 (Adapters) ,然后 


选择 /不 选任 一 适配器 。Bandwidth Meter Pro 同时 可 以 监视 多 个 适配器 。 


Hide 


Ese 
(Max: 1.86 kbps) Down: 0 


Dptions. ,. 了 
Traffic Reports... 了 3 
Stopyatch ，. T4 
Bates Recorder... 了 5 
TCP Connections 。 了 6 


全 回忆 


Nl Commections Adapters 
Dial-Up Connections View 
v] Real tek RTLB139/810x Panily Fast Ethernet NTC - 数据 包 计划 程序 微型 端口 [192.168.1. 178] Reset Rates 
WAN (PFP/SLIP) Interface [113.226.243.177] Register, 
Buy Now 
Help 
Exit 


图 8-20 适配器 选择 示意 图 


3. 带宽 使 用 通知 


如 图 8-21 所 示 , 当 带 宽 超 过 预 设 的 值 时 ,可 以 用 声音 .音乐 `.E-mail 和 运行 特定 程序 的 


形式 通知 用 户 。 


Bandwidth Weter Pro Options 
General | Graph & Text | Adapters | Notification | Service 


Notification 


任 Enable notification < 


When more than | 


were [downloaded 
inlast [week ~ 


through |Al Connections 


play beep |Low freauency, short duration 


gend me an emal 


[ncos@tom.com 
* emall address only; Use commas to separate multiple email addresses 


hun a program 


Hint: press CtrlHN to show notification manually after an alert is showed, 
Co [ene ]L soy ][ He 


图 8-21 带宽 使 用 通知 设置 


4. 流量 报告 
在 主 窗口 中 单 击 鼠 标 右键 ,并 从 快捷 菜单 中 选择 流量 报告 (Traffic Reports) ,然后 可 以 
查看 流量 的 概要 情况 ,以 及 每 天 、 每 周 和 每 月 的 流量 报告 ,如 图 8-22 所 示 。 


WM Traffic Reports — [All Connections] 


General Summary 
Unti today - Friday, July 30, 2010 


Today: 
This Week: 

This Month; 

This Year: 

Last 30 Sdays 
Total; 


Traffic Loq File: D:\My Documents\BWMeterPro\TrafficHistory,log 


* Click combo- ee 
* Units; 1B = 8bits; 1KB = 10246; 1MB = 1024KB; 1GB = 1024MB; 1TB = 1024GB 


Al Connections ~ Export |][ Ceace |] 


图 8-22 流量 概要 情况 


8.3 企业 级 网 络 管理 系统 


目前 市 场 上 网 络 管理 系统 软件 有 不 少 ,但 真正 具有 网 络 管理 五 大 功能 的 网 络 管理 系统 
却 不 多 。 比 较 不 错 的 网 络 管理 系统 有 HP 公司 的 Open-View、IBM 的 NetView、SUN 的 
SunNet、Cabletron 的 SPECTRUM ,以 及 国内 的 SiteView、 网 强 等 。 


8.3.1 SiteView ECC 


1. SiteView ECC 简介 

SiteView ECC 是 北京 游 龙 网 络 科技 有 限 公司 的 网 络 管理 产品 ,专注 于 对 局 域 网 、 广 域 
网 和 互联 网 上 的 系统 应 用 、 服 务 器 和 网 络 设备 的 故障 监测 和 性 能 管理 ,是 集中 式 、 跨 平台 的 
系统 管理 软件 。SiteView ECC 通过 持续 监控 企业 Internet、WAN、LAN 上 的 服务 器 、 网 络 
设备 和 应 用 系统 的 运行 状况 ,可 以 对 中 间 件 数据库、 邮件 系统 .DNS 系统 、FTP 系统 、OA 
系统 .ERP 系统 等 进行 全 面 深 入 的 监测 ,从 而 确保 企业 信息 平台 全 天 候 高 效 稳定 地 运行 ,其 
系统 架构 如 图 8-23 所 示 。 

SiteView ECC 功能 强大 ,不 仅 方便 系统 管理 人 员 随 时 了 解 整个 IT 系统 的 运行 状况 ,而 
且 能 从 应 用 层面 对 企业 IT 系统 的 关键 应 用 进行 实时 监测 。 一 旦 系统 出 现 异 常 ,警报 系统 
将 通过 声音 、E-mail、 手 机 短信 息 和 脚本 等 方式 及 时 通知 相关 人 员 ; 对 于 一 些 常见 问题 ， 
SiteView ECC 还 可 以 自动 进行 故障 处 理 。SiteView ECC 完善 的 性 能 分 析 报 告 能 帮助 系统 
管理 人 员 及 时 预测 ,发现 性 能 瓶颈 ,同时 为 企业 系统 的 战略 规划 提供 依据 。 
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ry we PE Er 


Tomcat Tuxedo SQL Server 
3 ni MsIs WebLogic DB2 
负载 均衡 Sun Solaris DNS Domino MySql 
故障 处 理 
故障 定位 ”事件 ” 报 黎 Q 二 2 ee PE Ws 
| 年 1 
实时 报告 趋势 报告 ”统计 报告 Toph 告 人 | 应 用 拓扑 树 型 视图 | 
A . Wi 设备 视图 
ES 人 | na 拓扑 | 这 罗 拓扑 | | 动态 
灵活 的 扩展 系统 
| SiteView rs| | SiteView NNM | | | sevev DM | | SiteView em | | 第 三 方 网 管 ] 


图 8-23 SiteView ECC 系统 架构 图 


SiteView ECC 可 以 和 SiteView 系列 产品 一 一 网 络 设 备 管理 、 上 网 行为 管理 .网 络 流量 
分 析 、 网 络 流量 控制 .桌面 管理 无 颖 集成 ,为 用 户 提供 灵活 的 随 需 应 变 解决 方案 。 

2. SiteView ECC 的 功能 

(1) 驾驭 综合 系统 管理 

专注 对 局 域 网 .广域网 和 互联 网 上 的 网 络 基 础 架构 .应 用 系统 数据库. 中 间 件 的 故障 监 
测 和 性 能 管理 ,全 面 解决 在 日 常 IT 管理 中 遇 到 的 问题 。 

(2) 实现 全 面 深度 监测 

内 置 上 千 种 各 类 专门 的 监测 器 ,采用 插件 外 挂 方式 与 系统 集成 ,用 户 还 能 通过 MSL 语 
言 快速 开发 自己 应 用 系统 专门 的 监测 器 ,实现 无 所 不 能 的 监测 。 

(3) 完美 呈现 拓扑 视图 

通过 与 Visio 的 完美 结合 , 既 可 反映 服务 器 、 网 络 设备 等 网 络 基础 架构 的 连通 状况 ,也 
可 反映 应 用 流 ,数据库 .中间 件 的 运行 情况 。 表 现 力 极其 丰富 ,多 层次 的 网 络 拓扑 图 可 很 好 
地 满足 不 同 层面 管理 人 员 直 观 了 解 系统 运行 状况 的 需求 。 

(4) 报警 及 时 ,报告 丰富 

及 时 提供 短信 .邮件 ,声音 .脚本 等 警报 方式 ,并 能 根据 用 户 需求 自动 生成 各 种 美观 的 图 
形 、 图 表 分 析 报 告 。 

(5) 为 IT 系统 管理 部 门 服务 

为 IT 系统 管理 部 门 提供 真正 集中 式 的 远程 管理 工具 ,IT 系统 的 任何 异动 尽 在 掌握 之 
中 ,使 IT 服务 管理 不 再 遥远 。 

3. SiteView ECC 的 基本 管理 功能 

1) 组 管理 

SiteView ECC 软件 可 以 设置 上 千 个 监测 ,所 以 很 有 必要 对 这 些 监测 进行 分 组 管理 。 通 


过 监测 的 分 组 管理 功能 ,用 户 可 以 更 加 直观 方便 地 了 解 各 监测 的 状态 和 系统 性 能 。 
系统 提供 了 二 层 交 换 机 三 层 交 换 机 、 路 由 器 防火 墙 \ 服 务 器 、PC 设备 .其 他 设备 七 个 
默认 的 组 。 用 户 可 以 将 自己 的 设备 添加 到 这 些 默 认 组 里 面 ,进行 分 类 和 管理 ; 也 可 以 任意 
增加 子 组 按 自 己 的 方式 进行 分 类 和 管理 。 增 加 子 组 操作 过 程 如 下 : 
在 SiteView ECC 左 侧 功 能 导航 “监控 器 "中 单 击 * 整 体 视图 ”, 然 后 在 显示 的 页 面 中 单 
击 “ 增 加 子 组 ”, 其 中 : 
。 依靠 关系 ”此 功能 用 于 选择 一 个 被 当前 组 依靠 的 监测 器 ,当前 组 内 各 监测 是 否 运 行 
将 依靠 于 选 定 监测 器 的 状态 ,默认 为 无 依靠 。 
。 依靠 条 件 ”依靠 条 件 分 为 三 种 : 正常 ,危险 .错误 。 如 果 选 择 * 正 常 ", 则 只 有 当 依靠 
监测 的 状态 是 正常 时 ,本 组 内 各 监测 器 才 会 运行 ; 如 果 选 择 " 危 险 ", 则 只 有 当 依 靠 
监测 的 状态 是 危险 时 ,本 组 内 各 监测 器 才 会 运行 ; 如 果 选 择 “ 错 误 ”, 则 只 有 当 依 靠 
监测 的 状态 是 错误 时 ,本 组 内 各 监测 器 才 会 运行 。 
此 外 ,还 可 以 对 组 进行 编辑 删除 ,禁止 监测 、 启 用 监测 等 操作 。 
2) 设备 管理 
SiteView ECC 监测 设备 指 在 监测 网 络 内 ,被 纳入 SiteView ECC 系统 监测 范围 内 的 设 
备 , 包 括 服务 器 .路 由 器 、 交 换 机 、 防 火 墙 等 。 在 监测 各 项 设备 之 前 ,必须 在 设备 列表 页 面 选 
择 相应 类 型 下 要 添加 的 设备 ,设备 信息 输入 完毕 后 保存 ,这 样 设备 就 添加 成 功 了 ,可 以 批量 
添加 监测 器 ,实现 对 该 设备 的 监测 。 添 加 设备 的 操作 方法 如 下 : 
(1) 在 SiteView ECC 左 侧 功能 导航 “监控 器 ?中 单 击 “整体 视图 ”, 然 后 在 显示 的 页 面 中 
单 击 “ 添 加 设备 ”选项 ,在 设备 列表 中 列 出 了 可 供 选 择 的 设备 ,包括 添加 服务 器 ,网 络 设备 , 数 
据 库 ,URL, 防 火 墙 ,中 间 件 ,邮件 服务 ,负载 均衡 ,应 用 系统 ,DNS。 
(2) 以 添加 Windows 服务 器 为 例 。 右 击 
SiteView ECC, 选 中 “添加 设备 ”选项 ,在 弹出 的 
设备 列表 页 面 中 选择 "Windows 设备 ”, 在 “添加 


http: /fwww. siteview. com 


Windows 服务 器 "对 话 框 中 输入 相应 的 信息 , 输 | x: 大 梧 
入 完成 后 单 击 “ 保 存 " 按 钮 ,就 完成 了 对 Windows A 守 EE - 
服务 器 的 添加 ,如 图 8-24 所 示 。 et ee | 


设备 添加 成 功 后 ,新 添加 的 设备 将 会 出 现在 . eve 
树 形 结构 的 最 下 方 和 设备 列表 的 最 下 方 。 

3) 监测 器 管理 

SiteView ECC 软件 包括 很 多 的 监测 器 ,同一 
类 的 监测 器 放 在 相应 的 设备 里 面 , 不 仅 提供 了 单 
个 监测 器 添加 功能 ,还 提供 了 批量 监测 器 添加 功 
能 ,下 面 就 简单 介绍 一 下 对 监测 器 的 具体 操作 。 

(1) 增加 监测 器 

在 控制 台 树 中 单 击 需要 添加 监测 器 的 设备 名 称 , 进 入 该 设备 的 详细 页 面 。 在 该 页 面 中 ， 
单 击 “添加 监测 器 ,可 看 到 该 设备 下 可 添加 的 监测 器 的 列表 ,如 图 8-25 所 示 。 

Windows 设备 提供 了 14 个 监测 器 ,分 别 是 : Ping、Port、URL、CPU、Disk、Memory、 


图 8-24 添加 设备 对 话 框 
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图 8-25 监测 器 的 列表 


Service\CpuDetailRate FilterEventLog, Process, Physical Memory、 SysLog 和 SSL。 单 击 
要 添加 的 监测 器 菜单 ,进入 添加 监测 器 窗口 ,输入 完毕 后 单 击 “ 添 加 ”按钮 即 可 实现 监测 器 的 
添加 。 

如 果 已 经 在 设备 里 添加 了 监测 器 ,并 且 监 测 器 的 数据 都 正常 ,那么 树 形 结构 中 该 设备 名 
称 前 的 图 标 和 监测 器 列表 中 的 状态 按钮 均 显示 为 绿色 。 可 以 看 到 ,在 名 称 、 编 辑 、 刷 新 的 位 
署 都 有 链接 , 单 击 后 可 以 看 到 它 的 相关 信息 。 

监测 器 提供 了 详细 信息 的 视图 ,分 为 图 表 数据, 趋势 报表 、 鱼 眼 视 图 4 个 选项 卡 , 可 以 
形象 地 记录 当前 监测 器 某 月 、 某 周 、 某 日 或 者 某 时 段 的 运行 情况 。 

(2) 浏览 监测 器 

监测 器 浏览 可 根据 不 同类 型 的 过 滤 条 件 快速 查看 服务 器 内 各 种 状态 的 监视 器 信息 , 方 
便 用 户 按 不 同 需 求 进行 查询 、 统 计 、 汇 总 。 同 时 ,在 查询 结果 中 ,可 以 通过 鼠标 单 击 列表 中 的 
各 个 链接 导航 到 查看 设备 和 监测 器 的 详细 信息 窗口 编辑 当前 监测 器 窗口 ,并 实现 即时 刷新 
当前 监测 器 ,获取 最 新 的 监测 器 数据 等 功能 。 

单 击 控制 台 树 的 “监测 器 浏览 ?打开 监测 器 浏览 的 主 界面 。 系 统 预 设 了 2 个 筛选 条 件 ， 
可 查看 浏览 次 数 最 多 的 监测 器 和 最 新 添加 的 监测 器 ,这 些 预 设 条 件 不 能 修改 和 删除 。 同 时 ， 
系统 将 添加 的 筛选 条 件 保 存在 客户 端 , 当 连接 其 他 的 服务 器 时 ,这 些 筛选 条 件 同样 能 派 上 用 
场 , 系 统 将 根据 它们 调 出 当前 服务 器 中 符合 条 件 的 数据 ,如 图 8-26 所 示 。 

(3) 设置 监测 器 

监测 器 设置 用 于 批量 修改 和 设置 监测 器 的 监测 频率 、 报 警 条 件 。 在 整体 视图 中 ,可 以 对 
单个 监测 器 进行 编辑 ,修改 它 的 监测 频率 和 报警 条 件 ; 但 若 想 将 所 有 Windows 服务 器 下 的 
CPU 监测 器 的 监测 频率 进行 修改 ,一 个 一 个 地 编辑 会 非常 麻烦 和 浪费 时 间 ; 通过 监测 器 设 
置 ,可 以 一 次 性 完成 CPU 监测 器 的 监测 频率 修改 。 
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图 8-26 监测 器 浏览 页 面 


Oa 修改 监测 频率 

单 击 控制 台 树 的 “监测 器 设置 >, 打开 监测 器 设置 的 主 界面 。 以 修改 Windows 服务 器 的 
CPU 监测 器 为 例 ,在 监测 器 树 中 选择 需要 修改 的 监测 器 ,系统 自动 将 其 加 载 到 监测 器 显示 
框 中 ,如 图 8-27 所 示 。 


i 

名 称 监测 频率 癌 值 状态 
Ping:192.168.0.97 11 小 时 [packetsgood > good 区 
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图 8-27 “监测 器 设置 "页 面 
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选 好 了 要 修改 的 监测 器 后 ,在 “基础 信息 ?选项 卡 中 输入 监测 器 频率 , 即 完成 了 批量 
修改 监测 频率 。 如 果 要 继续 修改 报警 条 件 , 单 击 * 应 用 ”按钮 ,然后 选择 监测 器 ,修改 报警 
条 件 , 反 之 , 单 击 “ 确 定 ” 按 钮 。 系 统 会 将 这 一 批 修改 的 数据 显示 在 监测 器 设置 主 界 面 的 
结果 窗口 中 。 

@ 修改 报警 条 件 

同 修改 监测 频率 的 操作 方法 类 似 , 打 开 批 量 修改 监测 器 的 窗口 后 , 勾 选 需要 修改 的 监测 
器 ,在 修改 设置 中 选择 “报警 条 件 ”。 

在 监测 器 类 型 下 拉 列 表 框 中 ,系统 将 选中 的 监测 器 进行 了 分 类 ,选中 其 中 一 种 类 型 , 进 
入 编辑 警告 条 件 窗口 ,设置 方法 同 增加 监测 器 ,全 部 输入 完成 后 , 单 击 “ 确 定 ” 按 钮 即 可 实现 
批量 修改 报警 条 件 。 

@ 错误 校 验 

当 监 测 器 发 生 错误 时 ,根据 设 定 的 错误 校 验 时 间 , 系 统 将 再 一 次 去 服务 端 获取 数据 。 初 
始 设置 在 添加 监测 器 窗口 的 “高 级 选项 ?选项 卡 中 设 定 ,操作 过 程 与 修改 监测 器 频率 和 报警 
条 件 相同 。 

4) 拓扑 图 

通过 Microsoft Visio 可 以 发 布 拓扑 图 ,当然 在 使 用 Visio 拓扑 图 功能 之 前 ,必须 先 安装 
Visio 2003 和 SiteView ECC 提供 的 Visio 拓扑 图 发 布 插件 。 

插件 通过 ”拓扑 视图 "下载 原 拓扑 图 发 布 安装 程序 来 实现 插件 的 安装 。 下 载 新 拓扑 图 发 
布 插件 ,并 复制 插件 Siteview. vsl 到 Microsoft Office\Visio11\2052\Siteview\ 目 录 。 

Visio 拓扑 图 不 仅 可 以 使 用 SiteView ECC 提供 的 模板 来 绘制 拓扑 图 ,还 可 以 在 用 户 原 
有 的 拓扑 图 上 稍 加 改动 ,就 可 以 使 用 SiteView ECC 提供 的 Visio 拓扑 图 功能 了 。 具 体操 作 
如 下 : 

(1) 启动 Visio, 打 开 原 有 的 拓扑 图 文件 。 

(2) 选择 任 一 个 图 形 ( 节 点 ), 右 击 ,并 从 快捷 菜单 中 选择 “形状 ">“ 自 定义 属性 ”命令 ， 
弹出 * 自 定义 属性 ”对 话 框 。 

(3) 单 击 “ 定 义 ” 按 钮 ,弹出 “ 自 定义 属性 ”对 话 框 。 

(4) 删除 系统 所 有 默认 的 自 定义 属性 , 单 击 “ 新 建 " 按 钮 ,在 “标签 "文本 框 内 输入 “实体 
IP”, 在 “名 称 ” 文 本 框 内 输入 *SV_IP” ,在 Value 文本 框 内 输入 IP 地 址 。 

(5) 单 击 OK 按钮 , 回 到 * 自 定义 属性 ”对话 框 。 

(6) 单 击 OK 按钮 , 回 到 所 打开 的 文档 。 

(7) 使 用 SiteView ECC Publish 发 布 拓 扑 图 , 单 击 “ 工 具 ” 一 “加 载 项 ”一 “SiteView 
Publish” 进 行 发 布 。 

SiteView Publish 要 求 提供 SiteView 的 服务 器 地 址 和 端口 号 ,SiteView 系统 默认 的 端 
口 是 6688, 在 “SiteView 的 地 址 ”文本 框 内 输入 正确 的 地 址 , 单 击 “ 确 定 ” 按 钮 后 拓扑 图 就 会 
发 布 到 指定 的 机 器 上 。 拓 扑 图 发 布 成 功 后 ,会 在 拓扑 视图 的 拓扑 列表 中 显示 。 每 个 拓扑 图 
发 布 后 ,提供 了 编辑 、 删 除 、 下 载 拓扑 图 的 功能 ,用 户 可 以 根据 需要 进行 操作 。 如 图 8-28 所 
示 为 Visio 管理 窗口 。 

每 个 拓扑 图 发 布 后 ,提供 了 编辑 、 删 除 、 下 载 拓 扑 图 的 功能 ,用 户 可 以 根据 需要 进行 
操作 。 
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5) 报警 


SiteView ECC 提供 了 完善 的 报警 功能 。 当 某 个 监测 器 的 状态 超过 事先 设 定 的 阔 值 时 ， 
系统 将 自动 做 出 相应 响应 ,包括 电子 邮件 .手机 短信 、 脚 本 ,声音 等 报警 提示 。 

报警 模块 包括 报警 规则 和 报警 日 志 两 大 功能 。 报 警 规则 包括 添加 删除 .禁止 .允许 、 刷 
新 编辑 报警 等 功能 。 报 警 规则 的 添加 报警 操作 如 下 : 

(1) 在 SiteView ECC 左 侧 功 能 导航 栏 选择 “报警 ”>“ 报 警 规则 ”, 然 后 在 显示 的 页 面 中 
单 击 “ 添 加 ”按钮 进入 报警 选择 页 面 ,报警 规则 具体 包括 E-mail 报警 短信 报警 脚本 报警 和 
声音 报警 。 用 户 可 以 根据 自己 的 情况 选择 具体 的 报警 类 型 ,下 面 以 E-mail 报警 为 例 进行 
设置 。 

(2) 单 击 “ 报 警 规则 ”, 在 “报警 选择 "页面 中 单 击 "E-mail 报警 ", 进 入 具体 添加 E-mail 
报警 页 面 , 添 加 报警 规则 的 页 面 也 是 由 两 个 部 分 组 成 , 左 侧 是 报警 所 监测 的 对 象 , 在 这 些 设 
备 和 监测 器 旁 都 有 复 选 框 ,在 右 侧 需要 输入 具体 的 页 面 描 述 。 图 8-29 是 选择 用 短信 报警 的 
设置 。 

6) 报表 管理 

SiteView ECC 8. 1 默认 有 统计 报告 .趋势 报告 .TopN 报告 .对比 报 告 . 时 段 对 比 报告 、 
监测 器 信息 、SysLog 查询 等 七 大 类 报告 ,增强 了 对 数据 的 挖掘 、 计 算 、 统 计 和 分 析 。 用 户 可 
以 根据 需要 , 自 定义 报告 的 内 容 和 表现 形式 ,系统 会 自动 生成 图 表 、 图 形 .数据 表 等 实时 报告 
和 历史 报告 。 实 时 报告 可 以 随时 查看 最 近 40 次 的 监测 数据 ; 历史 报告 根据 不 同 IT 运 维 人 
员 的 要 求 , 自 动 生成 不 同 监测 参数 组 合 的 任意 时 间 段 的 性 能 分 析 报 告 ,并 可 自动 将 报告 定时 
发 送 到 指定 邮箱 。 
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图 8-29 短信 报警 的 设置 对 话 杠 


报表 模块 可 以 提供 实时 的 和 基于 天 、` 周 和 月 的 不 同 报告 ,可 指定 时 间 生成 不 同 监测 参数 
组 合 的 报告 ,供用 户 分 析 诊 断 系 统 状况 。 预 测 一 段 时 间 内 的 趋势 情况 ,及 不 同 监测 器 的 对 比 
与 不 同时 间 同 一 监测 器 的 对 比 等 ,可 进行 相关 的 统计 分 析 ; 提供 多 种 灵活 的 查询 条 件 , 生 成 
各 式 报表 输出 ,并 提供 了 直观 简明 的 线 状 图 ,曲线 图 等 不 同 的 图 形 , 还 可 导出 成 Excel 表格 、 
图 片 等 文件 格式 ,方便 打印 和 保存 。 下 面 以 趋势 报告 为 例 进行 说 明 。 

趋势 报表 表明 一 段 时 间 内 的 趋势 情况 。 报 表 通 过 八 种 类 型 的 图 形 表现 选 定 的 数据 在 一 
段 时 间 内 的 运行 情况 ,因此 可 以 根据 之 前 监测 的 运行 情况 统计 分 析 , 得 出 每 个 参数 的 运行 情 
况 值 ,通过 提供 的 预测 值 , 可 提早 监控 容易 出 问题 的 参数 ,提早 对 系统 进行 升级 维护 ,从 而 防 
止 意外 的 服务 停顿 事件 。 

通过 统计 监测 器 的 正常 运行 时 间 、 和 危险、 错误. 最 新 值 和 阔 值 ,对 监测 器 一 个 时 间 段 内 的 
最 大 值 .最 小 值 和 平均 值 ,及 最 近 一 次 数据 和 最 大 值 时 间 进 行 统计 ,并 提供 不 同时 间 的 数据 
变化 图 ,来 方便 用 户 对 该 监测 器 以 后 的 运行 情况 进行 预测 。 用 户 并 可 以 根据 需要 选择 不 用 
的 监测 时 间 段 ,从 几 个 小 时 到 几 个 月 不 等 。 

通过 查看 趋势 报告 ,用 户 可 以 查看 当前 监测 器 的 信息 和 报告 图 ,打开 趋势 报告 ,如 图 8-30 
所 示 。 
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如 各: 村 视图 
图 8-30 趋势 报告 页 面 


8.3.2 IBM Tivoli 管理 系统 


1. 企业 IT 系统 管理 

IT 系统 管理 已 经 有 二 十 几 年 的 历史 ,其 发 展 历程 已 经 从 无 序 \ 混 沌 的 运 维 管理 ,经 过 简 
单 的 对 重要 资源 运行 的 自动 监视 ,发 展 至 今天 的 企业 级 IT 系统 管理 。 

如 图 8-31 所 示 ,IT 系统 管理 可 以 看 成 由 服务 支持 和 服务 提供 两 部 分 工作 组 成 。 服 务 
支持 是 IT 管理 者 每 天 进行 的 日 常 管理 工作 ,工作 重点 偏重 于 IT 技术 ; 服务 提供 是 将 管理 
数据 转化 为 决策 信息 ,工作 重点 偏重 于 从 业务 视角 来 看 待 问题 。 
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图 8-31 企业 IT 系统 管理 的 构成 


随 着 企业 规模 的 不 断 扩 大 ,业务 应 用 的 持续 增加 ,其 IT 基础 设施 的 架构 越 来 越 复杂 ， 
单纯 赁 某 个 工具 或 某 个 人 ,已 经 不 能 胜任 如 此 大 的 工作 量 和 满足 业务 紧迫 性 的 要 求 ,必须 有 
一 整套 的 企业 IT 系统 管理 的 解决 方案 。 

2. IBM Tivoli 系统 管理 结构 

IBM Tivoli 的 管理 结构 分 为 系统 及 应 用 监控 .事件 关联 和 自动 化 和 业务 影响 管理 三 层 。 
为 了 满足 复杂 IT 资源 管理 需要 ,IBM Tivoli 将 可 靠 性 管理 分 成 实时 监控 和 历史 数据 分 析 
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两 个 方面 ,每 个 方面 又 分 成 不 同 的 几 个 层次 ,如 图 8-32 所 示 。 
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8-32 Tivoli 管理 系统 的 层次 


不 同 的 客户 可 能 需要 不 同 的 管理 层次 ,对 于 相对 规模 较 小 的 客户 而 言 , 可 以 仅仅 利用 实时 
监控 来 完成 对 系统 资源 的 自动 管理 ; 对 于 系统 相对 复杂 的 客户 ,需要 将 多 种 IT 资源 纳入 到 一 
个 管理 分 析 中 ,此 时 事件 关联 和 分 析 就 是 非常 重要 的 ; 对 于 大 型 业务 处 理 系统 的 客户 ,需要 由 
IT 系统 来 维持 其 业务 的 运作 和 发 展 ,对 于 IT 系统 的 考核 已 不 能 简单 地 通过 宕 机 时 间 来 判断 ， 
需要 通过 对 业务 系统 影响 的 情况 来 判断 每 次 故障 的 大 小 和 破坏 程度 ,这 就 是 业务 影响 管理 。 

IT 管理 的 另 一 个 目标 就 是 实现 量化 管理 ,通过 管理 数据 来 分 析 系 统 的 状况 、 变 化 趋势 、 
将 来 可 能 遇 到 的 问题 等 。 企 业 管理 决策 层 更 需要 确切 的 数据 来 分 析 系统 容量 情况 .性 能 情 
况 ,从 而 为 其 决策 提供 有 用 的 依据 。Tivoli 提供 了 集中 的 统计 报表 系统 、 预 测 分 析 系 统 和 服 
务 水 平 管理 系统 ,这 些 事 后 分 析 都 是 基于 Tivoli 的 管理 数据 来 说 明 整 个 系统 的 过 去 ,现在 和 
将 来 的 状况 。 

如 图 8-33 所 示 ,IBM Tivoli 软件 通过 如 下 的 三 层 管理 模型 实现 了 面向 业务 影响 管理 的 
目标 。 在 每 一 管理 层 ,IBM Tivoli 软件 都 有 特定 的 管理 目标 ,从 底层 的 单独 系统 资源 的 管 
理 , 到 中 间 层 的 多 资源 事件 的 关联 及 自动 化 ,直至 最 上 一 层 的 业务 影响 管理 。 

3. IBM Tivoli 系统 管理 解决 方案 

IBM Tivoli 系统 管理 软件 可 以 满足 各 种 类 型 企业 在 系统 管理 方面 的 需求 ,其 中 典型 的 
解决 方案 包括 网 络 管理 解决 方案 .企业 系统 监控 管理 解决 方案 .企业 业务 影响 管理 解决 方 
案 、Web 管理 解决 方案 和 企业 资产 管理 解决 方案 等 。 

1) 网 络 管理 解决 方案 

IBM Tivoli 网 络 管理 解决 方案 ,以 IBM Tivoli NetView 作为 网 络 管理 平台 ; 同时 配合 
IBM Tivoli Switch Analyzer, 可 以 对 网 络 第 二 层 实施 监控 ; 所 有 网 络 监控 的 事件 ,可 以 无 缝 
地 发 送 到 IBM Tivoli Enterprise Console, 与 其 他 系统 管理 监控 事件 进行 关联 ; 同时 ,所 有 
网 络 性 能 数据 可 以 通过 Tivoli Data Warehouse 进行 存储 ,以 便 生成 网 络 管理 性 能 报告 。 
Tivoli NetView 控制 台 如 图 8-34 所 示 。 
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8-34 Tivoli NetView 控制 台 


通过 IBM Tivoli 网 络 管理 解决 方案 ,可 以 实现 的 功能 主要 包括 以 下 几 个 方面 。 

(1) 网 络 拓扑 管理 

Tivoli NetView 能 够 自动 发 现 联网 的 所 有 IP 节点 ,包括 路 由 器 .交换 机 、 服 务 器 .PC 第 
等 ,并 自动 生成 拓扑 连接 。NetView 提供 按照 网 络 节点 所 在 的 地 理 位 置 对 网 络 拓扑 图 进行 8 
客户 化 的 功能 ,使 之 与 实际 的 网 络 结构 更 加 吻合 。 章 
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(2) 网 络 故障 管理 

网 络 故障 管理 是 网 络 管理 的 核心 ,网 管 软件 应 当 能 够 及 时 发 现 网 络 的 故障 ,按照 故障 的 
轻重 缓急 产生 不 同 的 报警 ,并 且 具 备 对 故障 事件 自动 处 理 的 能 力 。Tivoli NetView 图 形 化 
的 网 络 IP 拓扑 结构 ,使 网 络 管理 员 可 以 迅速 方便 地 发 现 区 域 网 上 出 现 故障 的 IP 资源 并 帮 
助 管理 员 分 析 故 障 原 因 。 当 网 络 中 的 设备 出 现 故 障 、 机 器 死机 或 网 络 链 路 中 断 时 ,NetView 
会 及 时 在 屏幕 上 显示 报警 信号 ,并 在 拓扑 图 中 将 该 设备 置 成 红色 ,便于 网 络 管理 人 员 发 现 
诊断 。 

(3) 网 络 性 能 管理 

网 管 人 员 需 要 了 解 网 络 实时 的 性 能 状况 ,需要 能 够 对 网 络 性 能 作出 分 析 和 预测 ,并 生成 
相应 的 报表 。Tivoli NetView 的 SnmpCollect 功能 ,能 够 自动 采集 重要 的 网 络 性 能 数据 ,如 
IP 流量 ,带宽 利用 率 、 出 错 包 数量 、 丢 弃 包 数量 .SNMP 流量 等 ,并 设置 相应 的 冰 值 , 当 所 采 
集 的 数据 达到 阔 值 时 ,能 够 触发 报警 或 者 定义 好 的 自动 操作 。 可 以 用 图 形 的 方式 显示 这 些 
网 络 性 能 数据 的 变化 情况 ,也 可 以 将 这 些 数 据 存放 于 关系 型 数据 库 系 统 中 ,以 便于 检索 和 
分 析 。 

Tivoli Data Warehouse 将 为 网 络 性 能 管理 提供 集中 的 历史 统计 和 报表 分 析 , 能 够 帮助 
管理 人 员 从 大 量 数据 中 及 时 发 掘 出 可 以 用 作 判 断 网 络 运行 状况 的 数据 ,能 够 生成 各 种 报表 
和 图 形 化 的 分 析 报告 。 

(4) 网 络 设备 管理 

Tivoli NetView 支持 业界 标准 的 API, 能 够 与 主要 网 络 设备 厂商 的 设备 管理 软件 ,如 
CiscoWorks、Nortel(Bay) Optivity、3com Transcend 等 方便 地 进行 集成 ,从 而 能 够 统一 从 
NetView 的 Console 对 各 种 网 络 设备 进行 监控 和 配置 。 

通过 使 用 Tivoli NetView 与 网 络 设备 管理 软件 的 集成 ,管理 人 员 可 以 全 面 地 管理 网 
络 、 网 络 设备 、 网 络 性 能 ,及 时 获取 网 络 故障 的 信息 ,从 而 在 最 短 时 间 内 解决 网 络 故障 。 

(5) 管理 权限 分 配 

Tivoli NetView 可 以 为 管理 员 定 义 不 同 的 管理 角色 ,不 同 的 管理 员 可 以 被 授权 管理 不 
同 地 址 范围 的 设备 ,而 且 没 有 权限 管理 的 设备 不 会 在 拓扑 图 中 显示 出 来 。 

(6) Web 管理 功能 

Tivoli NetView 通过 Web Console 实现 分 布 式 管 理 界面 。NetView Web Console 为 用 
户 提供 了 一 个 灵活 .可 配置 的 环境 ,以 便 用 户 可 以 访问 网 络 状态 和 配置 信息 。 

使 用 Web Console 可 以 浏览 交换 机 的 端口 状态 、 路 由 器 状态 .MAC 地 址 状态 等 ,方便 
了 交换 机 管理 。 

(7) 支持 MPLS 管理 功能 

NetView 7. 1 支持 对 MPLS 设备 的 识别 ,并 能 对 有 关 MPLS 的 数据 进行 查询 。 
NetView 可 以 管理 LSR(Label Switch Routers) 设 备 。 

(8) 交换 机 的 故障 定位 

IBM Tivoli Switch Analyzer 提供 第 二 层 交换 设备 发 现 功能 ,识别 包括 第 二 层 和 第 三 层 
交换 设备 在 内 的 设备 之 间 的 关系 。 正 确 的 关联 分 析 ,无 论 其 根源 是 一 个 IP 寻 址 的 端口 还 是 
一 个 第 二 层 的 局 域 网 交换 机 上 非 IP 寻 址 的 端口 、 板 卡 或 插件 。 另 外 ,IBM Tivoli Switch 
Analyzer 还 扩展 了 IBM Tivoli NetView 和 IBM Tivoli Enterprise Console 的 故障 根源 分 析 


功能 。 

2) 企业 系统 监控 管理 解决 方案 

IBM Tivoli 软件 通过 集成 的 企业 系统 监控 管理 解决 方案 ,帮助 企业 在 广度 和 深度 方面 
解决 当前 的 IT 系统 监控 管理 所 面临 的 挑战 。IBM Tivoli 监控 解决 方案 ,通过 提供 跨越 广 
泛 的 软件 工具 的 统一 界面 ,简化 了 管理 人 员 所 面 对 的 复杂 性 。IBM Tivoli 企业 系统 管理 解 
决 方案 体现 在 电子 商务 环境 的 如 下 两 个 不 同 的 层面 。 

(1) 系统 和 应 用 监控 

IBM Tivoli 系统 和 应 用 监控 解决 方案 ,在 每 个 独立 资源 的 层次 更 容易 地 收集 性 能 参数 、 
分 析 问 题 的 原因 并 在 其 影响 其 他 资源 之 前 自动 修复 许多 问题 。 这 是 通过 带 有 前 瞻 分 析 组 件 
(Proactive Analysis Components) 实 现 的 。Tivoli 监控 解决 方案 也 被 设计 成 支持 其 他 
Tivoli 系统 监控 性 能 与 可 用 性 管理 产品 。 

IBM Tivoli 系统 和 应 用 监控 解决 方案 的 核心 产品 是 BM Tivoli Monitoring, 这 是 个 强 
劲 的 多 用 途 监 视 引 擎 。 其 所 采用 的 新 技术 ,能 够 为 所 用 环境 中 受到 监视 的 绝 大 多 数 或 全 部 
资源 部 署 单一 监视 解决 方案 。 这 种 先进 技术 可 以 通过 系统 监视 器 分 享 共同 的 报告 机 制 和 图 
形 用 户 界面 ,并 且 具 有 产生 历史 报表 的 共同 数据 中 心 库 。 

在 此 基础 上 ,IBM Tivoli 系统 和 应 用 监控 管理 解决 方案 ,能 够 监视 多 种 执行 类 似 任 务 的 
应 用 或 资源 ,可 以 对 以 下 资源 实施 监控 : 企业 中 mySAP. com R/3、Sieble 等 应 用 ,IBM 
WebShpere MQ 等 中 间 件 ,DB2、Informix、Oracle 等 数据 库 ,Domino、Web 服务 器 等 。 

(2) 事件 相关 及 自动 化 

当 问 题 涉及 多 个 资源 时 ,IBM Tivoli 企业 监控 系统 管理 解决 方案 通过 事件 关联 及 自动 
化 层次 实现 对 问题 的 根源 分 析 。 

在 系统 和 应 用 监控 解决 方案 基础 上 ,IBM Tivoli 事件 关联 及 自动 化 解决 方案 提供 了 一 
个 记录 用 户 的 IT 系统 和 网 络 的 整体 健康 状况 的 广泛 的 全景 窗口 。 它 们 可 以 自动 地 、 智 能 
地 组 合 来 自 不 同 资源 的 信息 ,并 关联 特定 的 事件 ,帮助 系统 管理 员 跨 多 个 系统 、 网 络 、 应 用 和 
硬件 来 确定 问题 的 根源 。 它 们 也 可 以 使 许多 系统 管理 任务 自动 化 ,使 企业 能 够 前 瞻 式 地 解 
决 问题 并 防止 其 再 度 发 生 。 

IBM Tivoli 事件 关联 及 自动 化 解决 方案 具有 很 好 的 开放 性 ,除了 可 以 对 系统 和 应 用 管 
理 , 配 置 和 操作 管理 层 传送 来 的 事件 进行 关联 外 ,还 能 够 与 第 三 方 的 应 用 和 管理 软件 ,甚至 
是 客户 自己 的 应 用 的 事件 进行 集成 。IBM Tivoli 事件 关联 及 自动 化 的 核心 产品 是 IBM 
Enterprise Console( 企 业 控 制 台 )。 

通过 这 两 层 管理 解决 方案 ,IBM Tivoli 系统 管理 解决 方案 可 以 实现 企业 IT 级 的 系统 
管理 的 几乎 所 有 功能 ,保证 系统 .中 间 件 .数据库 和 应 用 的 监控 运行 ,并 能 在 出 现 问题 时 快速 
判断 问题 的 根源 ,尽快 解决 问题 。 

3) 企业 业务 影响 管理 解决 方案 

IBM Tivoli 的 企业 业务 影响 管理 解决 方案 可 以 帮助 企业 将 IT 资源 的 性 能 与 所 服务 的 
内 部 客户 的 业务 需求 相 匹 配 ,让 管理 人 员 以 系统 和 网 络 如 何 支 持 一 个 特定 业务 流程 或 特殊 
业务 线 的 方式 来 看 待 管理 数据 。 通 过 实施 这 些 解 决 方案 ,企业 可 以 了 解 所 需要 的 与 客户 或 
内 部 客户 建立 的 有 意义 的 SLA ,帮助 预测 或 防止 可 能 使 IT 管理 不 能 达到 服务 水 平 目标 的 
事件 。 
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IBM Tivoli 企业 业务 影响 管理 解决 方案 由 IBM Tivoli Business Systems Manager( 业 
务 系统 管理 器 ) 和 IBM Tivoli Service Level Advisor( 服 务 水 平 顾问 ) 两 个 核心 产品 构成 。 
IBM Tivoli Business Systems Manager 提供 的 是 单一 的 、 完 全 集成 的 及 可 扩展 的 业务 系统 
管理 产品 。 同 时 ,IBM Tivoli Service Level Advisor 可 以 提供 服务 水 平 管理 的 服务 和 相关 
报告 。 

总 之 ,Tivoli 业务 系统 管理 器 和 服务 水 平 顾问 结合 在 一 起 ,能 够 保证 用 户 跨 整个 管理 基 
础 设施 ,从 可 操作 和 可 预测 的 角度 来 管理 用 户 的 服务 水 平 。 

4)Web 管理 解决 方案 

IBM Tivoli Web 管理 解决 方案 提供 了 一 套 综合 的 方法 以 确保 企业 的 网 站 提供 最 佳 性 
能 和 可 靠 性 。 企 业 可 以 安全 地 管理 Web 基础 设施 、 给 用 户 期 望 的 服务 ,同时 保持 竞争 优势 。 
IBM Tivoli Web 管理 解决 方案 包括 IBM Tivoli Monitoring for Web Infrastruture、IBM 
Tivoli Monitoring for Transaction Performance 和 IBM Tivoli Web Site Analyzer 三 个 
模块 。 

(1) IBM Tivoli Monitoring for Web Infrastructure 是 一 个 优化 应 用 服务 器 和 其 所 连接 
的 Web 服务 器 的 性 能 和 可 用 性 的 关键 工具 。 它 提供 了 一 个 单一 控制 点 ,可 以 让 IT 管理 人 
员 了 解 Web 环境 中 关键 元 素 的 健康 状况 。 它 也 可 以 使 管理 人 员 快 速 识别 问题 ,在 需要 时 向 
相关 人 员 报 警 ,并 提供 自动 解决 问题 的 方法 。Tivoli Monitoring for Web Infrastructure 还 
提供 了 一 个 实时 性 能 健康 状况 视图 ,并 可 以 将 数据 传送 到 共享 数据 仓库 ,形成 历史 报告 及 分 
析 。 这 个 软件 提高 了 IT 管理 人 员 的 工作 效率 ,保证 了 对 重要 Web 基础 设施 的 性 能 和 可 用 
性 的 优化 。 

(2) IBM Tivoli Monitoring for Transaction Performance 可 以 帮助 用 户 测 量 实 际 客户 
响应 时 间 、 定 期 执行 预 录制 交易 和 扫描 网 站 来 发 现 潜在 问题 ,有 助 于 维持 电子 商务 和 交易 的 
可 用 性 和 性 能 。IBM Tivoli Monitoring for Transaction Performance 借助 于 其 独 具 一 格 的 
交易 性 能 管理 方式 ,帮助 衡量 和 主动 改善 网 站 访问 者 和 客户 的 体验 质量 。 它 使 用 先进 的 技 
术 跟 踪 用 户 交易 ,将 总 计 响 应 时 间 分 解 成 各 组 件 部 分 ,并 且 人 允许 看 到 该 交易 在 基础 架构 内 的 
路 径 。 基 于 Web 的 实时 界面 ,可 查看 客户 正在 感受 到 的 响应 时 间 , 而 历史 报告 则 可 帮助 简 
化 长 期 趋势 分 析 。 

(3) IBM Tivoli Web Site Analyzer 是 一 个 企业 级 Web 分 析 工 具 , 它 将 分 散 的 Web 数 
据 转 化 为 有 价值 的 电子 商务 业务 智能 。 它 提供 了 一 个 清晰 的 图 画 , 显 示 用 来 支持 业务 成 果 
管理 的 电子 商务 基础 架构 的 整体 健康 状况 和 集成 性 。 

通过 捕获 分析、 存储 和 报告 Web 站 点 的 使 用 率 、 健 康 状 况 、 集 成 性 和 站 点 内 容 ,IBM 
Tivoli Web Site Analyzer 可 以 显示 访问 者 与 网 站 的 交互 性 和 网 站 的 整体 性 能 。 可 以 利用 
这 种 分 析 的 结果 来 优化 网 站 ,从 而 提高 客户 忠诚 度 和 电子 商务 的 效能 。Web Site Analyzer 
可 以 为 特定 的 意图 或 商务 活动 跟踪 指定 的 访问 者 或 客户 群 所 访问 的 页 面 内 容 和 购买 的 产 
品 , 也 可 以 指出 在 哪 方 面 减 少 投资 或 可 能 的 Web 浏览 变更 ,以 便 减 少 所 访问 的 Web 页 面 或 
产品 页 面 。 

同时 ,IBM Tivoli Web Site Analyzer 可 以 帮助 用 户 确定 是 将 广告 投资 通过 在 线 方 式 还 
是 其 他 方式 进行 ,例如 基于 产生 的 流量 和 实际 的 利润 ,确定 与 哪 一 家 电子 商务 合作 伙伴 进行 
合作 。 它 通过 多 种 方式 收集 数据 的 模型 ,将 所 有 分 布 式 的 Web 服务 器 的 日 志文 件 集成 到 一 


个 单一 开放 的 数据 仓库 。 另 外 , 它 提供 了 一 个 更 实时 的 方法 ,通过 IBM Tivoli Web Site 
Analyzer Web Tracker 功能 动态 捕获 Web 页 面 信息 。 通 过 采用 所 有 这 些 技术 ,IBM Tivoli 
Web Site Analyzer 可 以 简化 Web 服务 器 活动 的 报告 .Web 访问 者 的 统计 分 析 和 客户 行为 。 

由 IBM Tivoli Web Site Analyzer 生成 的 信息 可 以 更 深入 地 了 解 用 户 的 Web 体验 和 电 
子 商务 的 性 能 ,从 而 可 以 对 所 管理 的 电子 商务 基础 设施 做 出 更 准确 的 趋势 评估 和 前 瞻 性 的 
决定 。 通 过 将 Web 使 用 率 和 流量 信息 与 性 能 和 可 用 性 矩阵 相关 联 , 可 以 帮助 优化 企业 与 客 
户 、 企 业 与 企业 及 企业 与 雇员 之 间 Web 站 点 的 有 效 性 。 它 的 卓越 性 能 和 全 面 的 分 析 , 可 以 
帮助 IT .市场 和 销售 人 员 进 行 决策 。 

5) 企业 资产 管理 解决 方案 

IBM Tivoli 企业 资产 管理 解决 方案 ,能 够 帮助 企业 控制 动态 电子 商务 环境 中 的 复杂 性 ， 
最 大 限度 地 提高 技术 投资 回报 率 ,提供 安全 且 高 度 可 用 的 电子 商务 基础 架构 。IBM Tivoli 
资产 解决 方案 不 仅 有 助 于 满足 当今 维持 强劲 且 高 效率 电子 商务 基础 构架 的 需求 ,而 且 能 够 
提供 未 来 扩展 和 新 技术 的 基础 。 

IBM Tivoli 企业 资产 管理 解决 方案 组 合 包括 4 个 核心 产品 : IBM Tivoli Configuration 
Manager( 配 置 管理 软件 )、IBM Tivoli License Manager (软件 许可 证 管理 )、IBM Tivoli 
Remote Control( 远 程控 制 ) 和 IBM Tivoli Workload Schedule( 作 业 调 度 ) 。 这 4 个 软件 能 
够 单独 使 用 ,但 也 经 常 合 在 一 起 以 帮助 最 大 化 集成 的 价值 。 跨 数目 巨大 的 端点 进行 扩展 和 
对 异 构 操 作 系 统 平 台 进 行 管理 , 均 属 于 这 些 产品 的 内 置 功能 。 

(1) IBM Tivoli Configuration Manager 包含 了 软件 分 发 和 资产 清单 的 功能 。 软 件 分 发 
组 件 能 够 由 中 央 控 制 点 对 多 个 系统 和 用 户 快速 高 效率 地 部 署 复杂 的 关键 业务 应 用 程序 。 
Tivoli Configuration Manager 的 资产 清单 组 件 , 通 过 利用 全 面 的 软 硬 件 资源 目录 (超过 两 万 
个 千 字 且 按 季度 更 新 ) ,可 高 效率 地 规划 和 实施 技术 变更 ,因而 能 够 帮助 用 户 降 低 信息 技术 
开支 。 

(2) IBM Tivoli License Manager 是 一 个 高 效 的 管理 软件 许可 证 的 工具 。 通 过 先进 的 
库存 和 报告 能 力 , 可 以 帮助 业务 部 门 准确 得 知 需要 什么 软件 许可 证 以 及 谁 需 要 哪些 许可 证 。 
通过 使 用 IBM Tivoli License Manager 可 以 极 大 地 节省 成 本 ,只 对 需要 的 许可 证 付费 ; 同时 
可 以 有 效 防范 许可 证 的 非法 使 用 情况 的 发 生 ; 而 且 可 以 对 未 来 软件 的 许可 证 数量 进行 
预测 。 

(3) IBM Tivoli Remote Control 通过 提供 对 桌面 机 和 服务 器 的 远程 管理 能 力 , 以 帮助 
实现 电话 解决 问题 的 高 比例 和 减少 派遣 信息 技术 人 员 的 需要 ,从 而 降低 信息 技术 支持 的 总 
成 本 。IBM Tivoli Remote Control 与 IBM Tivoli Configuration Manager 配合 使 用 ,可 提供 
管理 电子 商务 基础 架构 之 变更 和 配置 的 强劲 集成 解决 方案 。 

(4) IBM Tivoli Workload Scheduler 通过 跨 主机 环境 和 分 布 式 环境 提供 集成 的 调度 能 
力 , 简 化 了 系统 管理 员 的 任务 。 此 解决 方案 具有 智能 日 历 和 全 面 的 操作 员 控 制 台 ; 性 能 增 
强项 目 包 括 更 高 效率 的 任务 执行 自动 化 和 通过 速度 的 总 体 改善 。 

被 称 为 容错 代理 (Fault Tolerant Agent) 的 新 轻 量 级 调度 代理 推动 了 扩展 能 力 和 性 能 
的 加 强 。 其 他 新 特性 包括 改善 的 数据 管理 和 经 由 XML 支持 与 基于 Web 报告 能 力 的 报告 、 
跨 工作 负载 的 先进 资源 分 享 改善 的 验证 和 加 密 特性 。 
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8.4 本 章 小 结 


本 章 介绍 了 网 络 管理 系统 的 基本 概念 和 常用 的 网 络 管理 工具 。 首 先 介绍 了 网 络 管理 系 
统 , 包 括 网 络 管理 系统 的 概念 ,分 类 ,组 成 和 结构 等 理论 知识 ; 然后 介绍 了 网 络 管理 常用 的 
工具 ,包括 服务 器 监控 、 网 络 性 能 监控 、 网 络 流量 监控 等 工具 ; 最 后 介绍 了 国内 外 有 名 的 企 
业 级 的 网 络 管理 工具 ,如 SiteView ECC IBM Tivoli 等 。 

本 章 需 要 重点 掌握 网 络 管理 系统 的 逻辑 结构 ,各 功能 模块 间 的 关系 ,并 掌握 常用 网 络 管 
理工 具 的 使 用 方法 。 


习 题 8 
一 、 选 择 题 
1. 网 络 管理 系统 按 作用 可 以 分 为 三 个 部 分 ,它们 分 别 是 ( js 
A. 操作 B. 管理 C. 维护 D. 运行 
2. 从 管理 信息 的 组 织 和 管理 角度 考虑 ,MIB 的 功能 一 般 包 括 ( ) 三 部 分 。 
A. 支持 服务 B. 检索 服务 C. 构造 服务 D. 访问 服务 


3. 故障 管理 需要 从 ( ) 得 到 当前 的 运行 分 析 结 果 , 从 配置 数据 库 得 到 设备 配置 信 
息 。 利 用 上 述 信息 和 网 络 的 事故 报告 ,一 旦 确认 发 生 故障 ,通过 配置 管理 来 修改 配置 参数 ， 
启动 恢复 行动 ,修复 、 蔡 换 或 隔离 故障 部 件 。 

A. 故障 管理 B. 计 费 管理 C. 安全 管理 D. 性 能 管理 

4. 性 能 管理 需要 从 ( ) 得 到 用 户 使 用 网 络 的 详细 记录 ,利用 收集 的 统计 数据 和 故障 

管理 检测 的 故障 情况 ,计算 网 络 性 能 参数 ,一 旦 出 现 危险 状态 则 向 故障 管理 示警 。 


A. 故障 管理 B. 计 费 管理 C. 安全 管理 D. 配置 管理 
5. 服务 器 监控 工具 所 要 监控 的 内 容 很 多 ,总 体 可 以 分 为 监控 服务 器 ( ) 三 大 块 。 
A. 运行 状态 B. 通信 量 C. 使 用 结果 D. 拓扑 结构 


6. 网 络 性 能 决定 着 网 络 服务 的 质量 ,网 络 性 能 不 仅 与 交换 机 和 路 由 器 等 设备 的 性 能 相 

关 , 而 且 与 人 ) 也 有 很 大 关系 。 
A. 线路 长 度 B. 线路 种 类 C. 线路 质量 D. 线路 结构 

二 、 简 答题 

1. 什么 是 网 络 管理 系统 ? 

2. 简 述 网 络 管理 系统 的 逻辑 组 成 。 

3. 简 述 网 络 管理 系统 的 结构 。 
4. 网 络 管理 系统 各 功能 间 的 关系 是 什么 ? 
5 
6 


. 网 络 性 能 的 指标 有 哪些 ? 
. 我 国 网 络 管理 系统 的 产品 有 哪些 ? 
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无 论 规划 设计 得 多 么 周密 ,施工 多 么 严谨 ,设备 多 么 先进 ,网 络 问 题 的 出 现 是 不 可 避免 
的 ,所 以 无 论 什么 样 的 网 络 都 必然 会 面临 着 大 量 的 故障 诊断 ,恢复 与 维护 工作 。 出 问题 并 不 
可 怕 ,关键 是 如 何 迅速 恢 复 网 络 的 功能 ,保证 业务 的 开展 。 本 章 将 介绍 网 络 故障 诊断 与 维护 
的 相关 知识 。 


9.1 网 络 故障 诊断 概述 


计算 机 网 络 是 一 个 复杂 的 综合 系统 ,其 故障 的 诊断 是 一 门 综合 性 的 技术 ,涉及 网 络 技术 
的 诸多 方面 。 网 络 故障 诊断 以 网 络 原理 、 网 络 配置 和 网 络 运行 知识 为 基础 。 从 故障 现象 出 
发 ,以 网 络 诊断 工具 为 手段 获取 诊断 信息 ,确定 网 络 故障 点 ,查找 问题 的 根源 ,排除 故障 , 恢 
复 网 络 正常 运行 。 保 障 和 维护 网 络 正常 .稳定 、 安 全 地 运行 ,提高 网 络 应 用 的 效率 是 网 络 管 
理 的 重要 目标 。 

1. 网 络 故 障 诊断 的 目的 

(1) 确定 网 络 的 故障 点 ,恢复 网 络 的 正常 运行 。 

(2) 发 现 网 络 规划 和 配置 中 的 甫 疯 , 改 善 和 优化 网 络 的 性 能 。 

(3) 观察 网 络 的 运行 状况 ,及 时 预测 网 络 通信 质量 。 

2. 网 络 故 障 产 生 的 原因 

产生 网 络 故障 的 原因 很 多 ,可 能 是 硬件 设备 的 原因 ,如 网 卡 、 交 换 机 、 服 务 器 等 ; 也 可 能 
是 来 自 软件 的 设置 错误 或 其 他 错误 引发 的 各 种 问题 ,如 协议 配置 .驱动 程序 配置 .负载 不 均 
衔 产生 的 "瓶颈 "等 问题 。 但 从 OSI 通信 模型 来 看 ,网 络 的 故障 产生 可 能 来 自 以 下 几 方 面 : 

(1) 物理 层 问 题 ,由 于 物理 设备 相互 连接 失败 或 者 硬件 及 线路 本 身 引 起 的 问题 。 

(2) 数据 链 路 层 问 题 , 包 括 网 络 设备 接口 的 配置 等 问题 。 

(3) 网 络 层 问题 ,由 于 网 络 协 议 配 置 或 操作 引起 的 错误 。 

(4) 传输 层 问题 ,由 于 性 能 或 通信 拥塞 引起 超时 等 问题 。 

(5) 应 用 层 问 题 ,包括 操作 系统 、 网 络 应 用 程序 自身 中 的 软件 错误 。 

从 OSI 数据 通信 模型 的 原理 可 知 ,诊断 网 络 故障 应 该 是 一 个 从 最 底层 开始 逐 层 向 上 进 
行 的 过 程 , 即 首先 检查 物理 层 , 然 后 检查 数据 链 路 层 , 以 此 类 推 ,只 有 这 样 才能 够 有 效 地 查 清 
出 现 网 络 故 障 的 原因 所 在 。 

3. 网 络 故 障 排除 的 方法 

OSI 的 层次 结构 为 管理 员 分 析 和 排查 故障 提供 了 非常 好 的 组 织 方式 。 由 于 各 层 相 对 独 
立 , 按 层 排 查 能 够 有 效 地 发 现 和 隔离 故障 ,因而 一 般 使 用 逐 层 分 析 和 排查 的 方法 。 


网 络 营 理 技术 教程 


通常 有 两 种 逐 层 排 查 的 方式 ,一 种 是 从 低层 开始 排查 ,适用 于 物理 网 络 不 够 成 熟 稳定 的 
情况 ,如 组 建新 的 网 络 .重新 调整 网 络 线 缆 .增加 新 的 网 络 设备 ; 另 一 种 是 从 高 层 开始 排查 ， 
适用 于 物理 网 络 相 对 成 熟 稳定 的 情况 ,如 硬件 设备 没有 变动 。 无 论 哪 种 方式 ,最 终 都 能 达到 
目标 ,只 是 解决 问题 的 效率 有 所 差别 而 已 。 

具体 采用 哪 种 方式 ,可 根据 具体 情况 来 选择 。 例 如 , 遇 到 某 客户 端 不 能 访问 Web 服务 
的 情况 ,如 果 管 理 员 首先 去 检查 网 络 的 连接 线 缆 , 就 显得 太 翡 观 了 ,除非 明确 知道 网 络 线路 
有 所 变动 。 比 较 好 的 选择 是 直接 从 应 用 层 着 手 ,可 以 这 样 来 排查 : 首先 检查 客户 端 Web 浏 
览 器 是 否 正确 配置 ,可 尝试 使 用 浏览 器 访问 另 一 个 Web 服务 器 ; 如 果 Web 浏览 器 没有 问 
题 ,可 在 Web 服务 器 上 测试 Web 服务 器 是 否 正常 运行 ; 如 果 Web 服务 器 没有 问题 ,再 测试 
网 络 的 连通 性 。 即 使 是 Web 服务 器 问题 ,从 底层 开始 逐 层 排查 也 能 最 终 解决 问题 ,只 是 花 
费 的 时 间 太 多 了 。 如 果 碰 巧 是 线路 问题 ,从 高 层 开始 逐 层 排查 也 要 浪费 时 间 。 

在 实际 应 用 中 往往 采用 折衷 的 方式 ,凡是 涉及 网 络 通信 的 应 用 出 了 问题 ,直接 从 位 于 
中 间 的 网 络 层 开 始 排查 ,首先 测试 网 络 连通 性 ,如 果 网 络 不 能 连通 ,再 从 物理 层 (测试 线路 ) 
开始 排查 ; 如 果 网 络 能 够 连通 ,再 从 应 用 层 ( 测 试 应 用 程序 本 身 ) 开 始 排查 。 

4. 一 般 网 络 故 障 排除 的 步 又 

(1) 确定 故障 的 具体 现象 ,分 析 造 成 这 种 故障 现象 原因 的 类 型 。 例 如 ,主机 不 响应 客户 
请 求 服务 ,可 能 的 故障 原因 是 主机 配置 问题 ,网络 接 口 卡 故 障 或 路 由 器 配置 命令 丢失 等 。 然 
后 根据 故障 的 性 质 和 影响 范围 进行 故障 定位 。 

(2) 收集 需要 的 用 于 帮助 隔离 可 能 故障 原因 的 信息 。 从 网 络 管理 系统 ,协议 分 析 跟 踪 、 
路 由 器 诊断 命令 的 输出 报告 或 软件 说 明 书 中 收集 有 用 的 信息 。 

(3) 根据 收集 到 的 情况 考虑 可 能 的 故障 原因 ,排除 某 些 故障 原因 。 例 如 ,根据 某 些 资料 
可 以 排除 硬件 故障 ,把 注意 力 放 在 软件 原因 上 。 

(4) 根据 最 后 的 可 能 故障 原因 ,建立 一 个 诊断 计划 。 开 始 仅 用 一 个 最 可 能 的 故障 原因 
进行 诊断 活动 ,这 样 可 以 容易 恢复 到 故障 的 原始 状态 。 如 果 一 次 同时 考虑 多 个 故障 原因 , 试 
图 返回 故障 原始 状态 就 困难 多 了 。 

(5) 执行 诊断 计划 ,认真 做 好 每 一 步 测试 和 观察 ,每 改变 一 个 参数 都 要 确认 其 结果 。 分 
析 结 果 确 定 问题 是 否 解决 ,如 果 没 有 解决 , 则 继续 测试 观察 ,直到 故障 现象 消失 。 

(6) 记录 解决 方案 ,确定 预防 措施 。 在 问题 解决 以 后 ,作为 合格 的 管理 员 , 还 需要 将 问 
题解 决 过 程 中 的 相关 记录 整合 成 文献 ,以 备 后 用 。 同 时 ,还 要 制定 同样 问题 再 次 产生 的 预防 
措施 ,以 主动 的 方式 进行 网 络 管理 活动 。 


9.2 网 络 故障 的 分 类 


在 现行 的 网 络 管理 体系 中 ,由 于 网 络 故障 的 多 样 性 和 复杂 性 ,网 络 故 障 分 类 方法 也 不 尽 
相同 。 根 据 网 络 故障 的 性 质 可 以 分 为 物理 故障 与 逻辑 故障 ; 也 可 以 根据 网 络 故障 的 对 象 分 
为 线路 故障 .路 由 器 故障 和 主机 故障 等 。 

1. 按 网 络 故 障 的 性 质 分 类 

(1) 物理 故障 

物理 故障 是 指 设 备 或 线路 损坏 、 插 头 松动 .线路 受到 严重 电磁 干扰 等 情况 。 比 如 说 ,网 


络 中 某 条 线路 突然 中 断 , 如 已 安装 网 络 监控 软件 就 能 够 从 监控 界面 上 发 现 该 线路 流量 突然 
掉 下 来 或 系统 弹出 报警 界面 ,更 直接 的 反映 就 是 处 于 该 线路 端口 上 的 基于 网 络 的 管理 信息 
系统 无 法 使 用 。 

另 一 种 常见 的 物理 故障 就 是 网 络 插头 误 接 ,这 种 情况 经 常 是 在 没有 搞 清 网 络 插头 规范 
或 没有 和 弄 清 网 络 拓扑 结构 的 情况 下 导致 的 。 

(2) 逻辑 故障 

逻辑 故障 中 的 一 种 常见 情况 就 是 配置 错误 ,就 是 指 因 为 网 络 设备 的 配置 原因 而 导致 的 
网 络 异 常 或 故障 。 配 置 错误 可 能 是 路 由 器 端口 参数 设置 有 误 ,或 路 由 配置 错误 导致 路 由 循 
环 或 找 不 到 远 端 地 址 ,或 者 是 网 络 掩 码 设置 错 误 等 。 比 如 ,同样 是 网 络 中 某 条 线路 故障 ,发 
现 该 线路 没有 流量 ,但 又 可 以 ping 通 线路 两 端的 端口 ,这 时 很 可 能 就 是 路 由 配置 错误 导致 
路 由 循环 了 。 

逻辑 故障 中 另 一 类 故障 就 是 一 些 重要 进程 或 端口 关闭 ,以 及 系统 的 负载 过 高 。 比 如 ,路 
由 器 的 SNMP 进程 意外 关闭 或 死 掉 ,这 时 网 络 管理 系统 将 不 能 从 路 由 器 中 采集 到 任何 数 
据 , 因 此 网 络 管理 系统 失去 了 对 该 路 由 器 的 控制 。 这 时 ,也 是 线路 中 断 , 没 有 流量 ,但 用 
ping 发 现 线路 近 端 的 端口 ping 不 通 。 

2. 按 网 络 故 障 的 对 象 分 类 

(1) 线路 故障 

线路 故障 最 常见 的 情况 就 是 线路 不 通 , 诊 断 这 种 故障 可 用 ping 检查 线路 远 端 的 路 由 器 
端口 是 否 还 能 响应 ,或 检测 该 线路 上 的 流量 是 否 还 存在 。 一 旦 发 现 远 端 路 由 器 端口 不 通 ,或 
该 线路 没有 流量 , 则 该 线路 可 能 出 现 了 故障 。 这 时 有 几 种 处 理 方法 ,首先 是 ping 线路 两 端 
路 由 器 端口 ,检查 两 端的 端口 是 否 关闭 了 。 如 果 其 中 一 端 端口 没有 响应 则 可 能 是 路 由 器 端 
口 故障 。 如 果 是 近 端 端口 关闭 , 则 可 检查 端口 插头 是 否 松 动 ,路 由 器 端口 是 否 处 于 down 的 
状态 ; 如 果 是 远 端 端口 关闭 , 则 要 通知 线路 对 方 进行 检查 。 进 行 这 些 故 障 处 理 之 后 ,线路 往 
往 就 通畅 了 。 

如 果 线 路 仍然 不 通 ,一 种 可 能 就 是 线路 本 身 的 问题 ,看 是 否 线路 中 间 被 切断 ; 另 一 种 可 
能 就 是 路 由 器 配置 出 错 , 比 如 路 由 循环 了 , 远 端 端口 路 由 又 指向 了 线路 的 近 端 ,这 样 线路 远 
端 连 接 的 网 络 用 户 就 不 通 了 ,这 种 故障 可 以 用 traceroute 来 诊断 。 解 决 路 由 循环 的 方法 是 
重新 配置 路 由 器 端口 的 静态 路 由 或 动态 路 由 。 

(2) 路 由 器 故障 

事实 上 ,线路 故障 中 很 多 情况 都 涉及 路 由 器 ,因此 也 可 以 把 一 些 线路 故障 归结 为 路 由 器 
故障 。 但 线路 涉及 两 端的 路 由 器 ,因此 在 考虑 线路 故障 时 要 涉及 多 个 路 由 器 。 有 些 路 由 器 
故障 仅仅 涉及 它 本 身 , 这 些 故 障 比较 典型 的 就 是 路 由 器 CPU 温度 过 高 .CPU 利用 率 过 高 和 
路 由 器 内 存 余 量 太 小 。 其 中 最 危险 的 是 路 由 器 CPU 温度 过 高 ,因为 这 可 能 导致 路 由 器 烧 
毁 。 而 路 由 器 CPU 利用 率 过 高 和 路 由 器 内 存 余 量 太 小 都 将 直接 影响 到 网 络 服务 的 质量 ， 
比如 路 由 器 上 丢 包 率 就 会 随 内 存 余 量 的 下 降 而 上 升 。 检 测 这 种 类 型 的 故障 ,需要 利用 MIB 
变量 浏览 器 这 种 工具 ,从 路 由 器 MIB 变量 中 读 出 有 关 的 数据 ,通常 情况 下 网 络 管理 系统 有 
专门 的 管理 进程 不 断 地 检测 路 由 器 的 关键 数据 ,并 及 时 给 出 报警 。 而 解决 这 种 故障 ,只 有 对 
路 由 器 进行 升级 、 扩 内 存 等 ,或 者 重新 规划 网 络 的 拓扑 结构 。 

另 一 种 路 由 器 故障 就 是 自身 的 配置 错误 。 比 如 配置 的 协议 类 型 不 对 ,配置 的 端口 不 对 
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等 。 这 种 故障 比较 少见 ,一 般 出 现在 使 用 初期 ,配置 好 路 由 器 后 基本 上 就 不 会 出 现 了 。 

(3) 主机 故障 
主机 故障 常见 的 现象 就 是 主机 的 配置 不 当 。 比 如 ,主机 配置 的 IP 地 址 与 其 他 主机 发 生 
冲突 ,或 IP 地 址 根本 就 在 子 网 范围 内 不 存在 ,这 将 导致 该 主机 不 能 连通 。 还 有 一 些 服务 设 
置 的 故障 。 比 如 E-mail 服务 器 设置 不 当 导致 不 能 收发 E-mail, 或 者 域名 服务 器 设置 不 当 将 
导致 不 能 解析 域名 。 主 机 故障 的 另 一 种 可 能 是 主机 安全 故障 ,比如 ,主机 没有 控制 其 上 的 
finger、rpc、rlogin 等 多 余 服务 。 而 恶意 攻击 者 可 以 通过 这 些 多 余 进程 的 正常 服务 或 bug 攻 
击 该 主机 ,甚至 得 到 该 主机 的 超级 用 户 权限 等 。 

另外 ,还 有 一 些 主机 的 其 他 故障 ,比如 不 当 共 享 本 机 硬盘 等 ,将 导致 恶意 攻击 者 非法 利 
用 该 主机 的 资源 。 发 现 主 机 故障 是 一 件 困难 的 事情 ,特别 是 别人 恶意 的 攻击 。 一 般 可 以 通 
过 监视 主机 的 流量 或 扫描 主机 端口 和 服务 来 防止 可 能 的 漏洞 。 当 发 现 主 机 受到 攻击 之 后 ， 
应 立即 分 析 可 能 的 漏洞 ,并 加 以 预防 ,同时 通知 网 络 管理 人 员 注 意 。 现 在 ,防火 墙 的 安装 已 
经 比较 普遍 ,如 果 防 火 墙 地 址 权限 设置 不 当 , 也 会 造成 网 络 的 连接 故障 ,只 要 在 设置 使 用 防 
火 墙 时 加 以 注意 ,这 种 故障 就 能 避免 。 


9.3 网 络 故障 的 分 层 检查 


不 同类 型 的 网 络 (以 太 网 . 令 牌 环 .FEDDI.ATM) 各 自 的 故障 也 不 相同 ,由 于 以 太 网 的 形 
式 已 经 被 业界 广泛 采用 ,这 里 只 介绍 以 太 网 的 故障 类 型 并 以 OSI 七 层 模型 分 别 讲解 。 


9.3.1 物理 层 故 障 


物理 层 的 功能 是 在 物理 信道 上 透明 地 传输 位 流 , 物 理 层 设备 的 主要 任务 就 是 解决 数据 
终端 设备 与 数据 通信 设备 之 间 的 接口 问题 。 物 理 层 互 连 的 设备 是 中 继 器 和 集线器 ,它们 在 
物理 层 间 实 现 透 明 的 二 进 制 比特 复制 ,以 补偿 信号 衰减 ,以 此 来 延长 网 络 的 长 度 。 

网 络 物理 层 的 故障 主要 是 指 网 络 设备 的 连接 性 能 故障 ,包括 网 卡 、 交 换 机 、 集 线 器、 路 由 
器 等 ,其 常见 的 物理 故障 如 下 。 

(1) 电气 性 能 故障 : 主要 指 网 络 设 备 的 端口 提供 的 电 平 不 正常 (过 高 .过 低 ), 电 压 极 性 
不 正常 。 

(2) 传输 模式 故障 : 网 络 设备 的 数据 传输 有 半 双 工 、 全 双 工 . 自 适应 多 种 模式 。 在 数据 
传输 过 程 中 ,可 能 发 生 模 式 人 为 设置 错误 ,相互 不 匹配 ; 或 两 端 不 能 自动 地 建立 正确 的 传输 
协商 机 制 等 。 


9.3.2 数据 链 路 层 故 障 


数据 链 路 层 的 功能 是 在 相 邻 两 节点 间 无 差错 地 传送 数据 帧 ,为 网 络 层 提供 服务 。 数 据 
链 路 层 互 连 的 设备 是 网 桥 , 网 桥 在 网 络 互 连 中 起 到 数据 接收 、 地 址 过 滤 与 数据 转发 的 作用 ， 
它 用 来 实现 多 个 网 络 系统 之 间 的 数据 交换 。 用 网 桥 实现 数据 链 路 层 互 连 时 ,互联 网 络 的 数 
据 链 路 层 与 物理 层 协议 可 以 是 相同 的 ,也 可 以 是 不 同 的 。 

在 OSI 七 层 模型 中 的 第 二 层 数 据 链 路 层 的 数据 传输 是 以 帧 的 形式 表示 的 。 帧 错误 的 
类 型 如 下 : 


(1) 碰撞 帧 : 在 集线器 构建 的 网 络 中 ,最 常见 的 错误 就 是 碰撞 。 根 据 CSMA/CD 机 制 ， 
当 两 个 站 点 同时 发 送信 息 时 就 会 产生 碰撞 。 碰 撞 发 生 后 ,站 点 原先 发 送 的 帧 会 被 破坏 而 不 
完整 ,形成 碎 帧 。 碰 撞 按 照发 生 的 位 置 划分 为 以 下 几 种 : 本 地 碰撞 、 远 端 碰撞 、 延 迟 碰 撞 、 远 
端 延迟 碰撞 。 以 太 网 的 有 关 规 范 不 但 明确 地 指出 碰撞 是 正常 现象 以 及 出 现 的 原因 ,而 且 强 
调适 当 的 碰撞 不 会 对 以 太 网 带 来 负面 影响 。 但 是 ,过 多 的 碰撞 产生 可 能 是 由 于 网 络 中 不 良 
因素 或 错误 造成 的 ,过 多 的 碰撞 也 会 导致 网 络 性 能 的 大 幅 下 降 。 

(2) 短 帧 : 一 个 比 有 效 的 最 短 帧 (在 前 同步 信号 之 后 少 于 64 个 字 节 ) 还 小 ,但 帧 检测 序 
列 (FCS) 是 正常 的 帧 。 出 现 短 帧 最 常见 的 原因 是 网 卡 故障 、 网 卡 驱 动 程序 损坏 或 设置 错误 。 

(3) 帧 过 长 : 一 个 比 法 定 有 效 的 最 大 长 度 (1518 字 节 ) 还 长 的 帧 ,以 太 网 规范 中 没有 规 
定 其 帧 的 FCS 是 否 正常 。 造 成 帧 过 长 的 常见 原因 是 网 卡 故障 、 网 卡 驱动 程序 损坏 或 设置 错 
误 , 连 接 电 缆 和 接地 问题 。 

(4) 长 帧 : 一 个 比 法 定 有 效 的 最 大 长 度 (1518 字 节 ) 还 长 但 FCS 是 正常 的 帧 。 其 出 现 
可 能 的 原因 是 软件 设置 有 误 或 网 卡 驱动 程序 损坏 。 

(5) 帧 校 验 序列 错误 : 一 般 帧 首 的 信息 准确 ,但 接收 端的 累加 校 验 与 帧 尾 的 FCS 不 相 
符合 ,此 错误 又 称 循环 元 余 校 验 (CRC) 错 误 。 单 一 站 点 过 多 的 FCS 错误 表明 网 卡 或 软件 程 
序 有 问题 。 如 果 FCS 错误 与 多 个 站 点 相关 则 说 明 电缆 链 路 系统 有 噪声 。 

(6) 字 节 位 错误 : 一 般 帧 的 结尾 不 是 以 标准 的 8 位 字 节 结束 , 即 数据 帧 比 标准 的 8 位 二 
进 制 码 组 成 的 字 节 多 (或 少 ) 几 位 ,这 主要 是 由 于 软件 驱动 程序 错误 或 碰撞 造成 的 。 


9.3.3 网 络 层 故障 


网 络 层 互 连 的 设备 是 路 由 器 。 网 络 层 互 连 主要 是 解决 路 由 选择 .拥塞 控制 .差错 处 理 与 
分 段 技术 等 问题 。 如 果 网 络 层 协议 相同 , 则 互 连 主要 解决 路 由 选择 问题 ; 如 果 网 络 层 协议 
不 同 , 则 需要 使 用 多 协议 路 由 器 。 用 路 由 器 实现 网 络 互 连 时 ,允许 网 络 互 连 的 网 络 层级 以 下 
各 层 协议 是 不 同 的 。 
网 络 层 提供 建立 .保持 和 释放 网 络 层 连 接 的 手段 ,包括 路 由 选择 .流量 控制 传输 确认 、 
中 断 .差错 及 故障 恢复 等 。 

排除 网 络 层 故 障 的 基本 方法 是 : 沿 着 从 源 到 目标 的 路 径 ,查看 路 由 器 路 由 表 , 同 时 检查 
路 由 器 接口 的 IP 地 址 。 如 果 路 由 没有 在 路 由 表 中 出 现 ,应 该 通过 检查 来 确定 是 否 已 经 输入 
适当 的 静态 路 由 、 默 认 路 由 或 者 动态 路 由 ; 然后 手工 配置 一 些 丢 失 的 路 由 ,或 者 排除 一 些 动态 
路 由 选择 过 程 的 故障 ,包括 RIP 或 者 IGRP 路 由 协议 出 现 的 故障 。 例 如 ,对 于 IGRP 路 由 选择 
信息 ,只 在 同一 自治 系统 号 的 系统 之 间 交 换 数据 ,查看 路 由 器 配置 的 自治 系统 号 的 匹配 情况 。 

在 网 络 的 运行 中 ,经 常会 遇 到 因 设 备 设置 导致 的 网 络 错误 ,通常 这 些 故 障 的 排除 没有 适 
当 的 工具 是 很 难 完成 的 。 这 些 常见 的 网 络 问题 归结 成 以 下 几 类 : 

(1) 错误 : 指 可 以 导致 网 络 的 设备 不 能 正常 运行 的 网 络 问题 。 例 如 ,IP 地 址 冲突 、 子 网 
掩 码 错误 、IP 地 址 是 子 网 地 址 、IP 地 址 是 子 网 广播 地 址 、 关 键 设备 没有 响应 、DHCP 服务 器 
提供 了 正在 使 用 的 卫 地 址 .丢失 DHCP 给 出 的 地 址 。 

(2) 警告 : 对 网 络 的 正常 运行 没有 影响 ,但 可 能 属于 设备 设置 错误 的 网 络 问题 。 例 如 ， 
默认 路 由 器 没有 响应 、IP 子 网 的 唯一 设备 、IPX 网 络 唯一 设备 .网络 中 唯一 使 用 IPX 类 型 的 
设备 .Proxy ARP 响应 本 地 IP。 
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9.3.4 传输 层 故 障 


传输 层 的 主要 功能 有 : 提供 建立 、 维 护 和 拆除 传输 层 连 接 ; 选择 网 络 层 提供 的 合适 的 
服务 ; 提供 端 到 端的 错误 恢复 和 流量 控制 ; 向 会 话 层 提供 独立 于 网 络 层 的 传送 服务 和 可 靠 
的 透明 数据 传送 。 

传输 层 故 障 的 检查 主要 包括 以 下 两 个 方面 

(1) 差错 检查 ,如 数据 包 的 重 发 等 。 

(2) 通信 拥塞 或 上 层 协议 在 网 络 层 协议 上 的 捆绑 方面 


9.3.5 应 用 层 故 障 


应 用 层 是 OSI 环境 与 本 地 系统 的 操作 系统 和 应 用 系统 直接 接口 的 一 个 层次 。 在 功能 

,应 用 层 为 本 地 系统 的 应 用 进程 访问 OSI 环境 提供 手段 ,也 是 唯一 直接 给 应 用 进程 提供 
0 有 服 务 的 层次 。 根 据 分 层 原 则 ,应 用 层 向 应 用 进程 提供 的 服务 是 OSI 的 所 有 层 直 接 
或 间接 提供 服务 的 总 和 。 

应 用 层 故 障 检查 主要 包括 以 下 3 个 方面 : 

(1) 操作 系统 的 系统 资源 的 运行 状况 。 

(2) 应 用 程序 对 源 的 占用 和 调度 

(3) 管理 方面 的 问题 ,如 安全 管理 ,用户 管理 等 


9.4 网 络 故障 诊断 工具 


9.4.1 软件 工具 


.IP 连接 测试 一 一 ping 
ping 命令 是 TCP/IP 协议 内 置 的 一 个 测试 工具 ,主要 通过 发 送 ICMP 回响 请 求 消息 ,来 
验证 与 另 一 台 计 算 机 的 IP 连接 。 对 应 的 回响 应 答 消息 的 接受 情况 将 和 往返 过 程 的 时 间 一 
起 显示 出 来 。ping 是 用 于 检测 网 络 连接 性 .可 达 性 和 域名 解析 的 主要 TCP/IP 命令 。 
例如 ,网 络 运 行 正常 情况 下 ,在 命令 提示 符 窗口 中 输入 如 下 命令 : 


ping www. sina.com. cm 
按 回 车 键 执行 ,所 有 发 送 的 包 均 被 成 功 接收 , 丢 包 率 为 0, 如 图 9-1 所 示 。 


:Vping sina-com-cn 
IPinging sina.com.cn [61.172.2@1.194] with 32 bytes of data: 


IReply from 61.1?2.281.194: bytes=32 tine-=15@ns ITIL=243 
IReply from 61-172-291.194: bytes=32 time=156ms TIL=243 
IReply from 61.172.281.194: time=156ms IT 43 
IReply from 61-172-291-194: time=156ms TITL=243 


lPing statistics for 61-172-2B61-194: 
: Sent = 4, Received = 4,. Lost = @ CG@x loss), 


Minimum = 15Bms。Maximum = 156ms。 huerage = 154ms 


图 9-1 正常 时 的 ping 命令 测试 结果 


正常 测试 结果 中 会 连续 出 现 类 似 *Reply from 61. 172. 201. 194: bytes 一 32 time 
150ms TTL 二 243” 的 语句 。 其 中 ,150ms 表示 从 发 送 数据 到 收 到 回应 经 历 的 时 间 , 如 果 超 
出 限定 时 间 后 仍 未 收 到 回应 , 则 视 为 连接 超时 ,自动 继续 发 送 下 一 个 测试 数据 包 , 系 统 默认 
的 超时 时 间 为 4000ms(4s); TTL 二 243 表示 对 方 主机 的 TTL 值 为 243 ,根据 TTL 值 一 般 
可 以 确定 该 计算 机 使 用 哪 种 操作 系统 ,例如 Windows XP/2000 系统 的 主机 TTL 通常 为 
128 ,而 UNIX 系统 的 主机 TTL 一 般 为 255 。 

另外 ， 和 大 小 来 确定 网 络 的 丢 包 率 , 如 果 和 技 包 率 
非常 高 ,虽然 网 络 是 连通 的 ,但 是 其 稳定 性 会 非常 差 。 指 定数 据 包 的 大 小 , 则 是 为 了 测试 网 
络 是 否 能 够 提供 一 定 的 带宽 。 例 如 ,在 命令 提示 符 窗口 中 输入 如 下 命令 : 


ping 202.96.69.38 一 n5 一 1 1000 


按 回 车 键 执行 ,其 中 发 送 数据 包 的 数量 为 5, 数 据 包 大 小 为 1000 字 节 ,从 测试 结果 可 以 发 现 
丢 包 率 的 大 小 。 通 常情 况 下 , 丢 包 率 低 于 20% 时 不 会 影响 到 正常 网 页 浏览 等 应 用 。 

2. 路 由 追 tracert 

通过 递增 TTL 字段 的 值 将 ICMP 消息 发 送 给 目标 可 确定 到 达 的 路 径 。 所 显示 的 路 径 
是 源 主机 与 目标 a 器 接口 列表 。 近 侧 接口 是 离 路 径 中 发 送 
主机 最 近 的 路 由 器 接口 

例如 ,追踪 到 新 浪 网 的 路 由 ,在 命令 提示 符 窗口 中 输入 如 下 命令 : 


tracert sina. com. cn 


按 回 车 键 执 行 ,命令 成 功 执行 ,可 以 看 到 从 本 机 到 新 浪 网 之 间 所 经 过 的 所 有 路 由 ,如 图 9-2 
所 示 。 
:\>tracert Sina-com-cn 


racing route to sina-com-cn [61-172-291-1941] 
over a maximun of 38 hops: 


ms ms 116-3-48.1 

ms ms 61.189.72.169 
ms ms -93 -252-33 
ms ms -61.254-73 
ms ms -61.254-165 
ms ms -158.12.145 
ms ms -158.5.218 
ms ms -158.32.17@ 
ms ms -97-46 .41 
ms ms . -86.41 
ms ms = -87.11@ 
ms ms -?3 -1?5 -13@ 
ms ms 61.172.281.194 


下 
2 
3 
4 
5 
6 
8 
9 


race complete- 


图 9-2 追踪 路 由 


3. 路 径 测试 一 一 pathping 

pathping 主要 用 于 提供 在 来 源 和 目标 之 间 的 中 间 跃 点 处 的 网 络 滞后 和 网 络 信息 丢失 。 
pathping 将 多 个 回响 请 求 消息 发 送 到 来 源 和 目标 之 间 的 各 个 路 由 器 ,然后 根据 各 个 路 由 器 
返回 的 数据 包 大 小 计算 其 结果 。 因 为 pathping 显示 任何 特定 路 由 器 或 链接 的 数据 包 的 丢 
失 程 度 , 所 以 用 户 可 据 此 确定 引起 网 络 问题 的 路 由 器 或 子 网 。pathping 通过 识别 路 径 上 的 
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路 由 器 来 执行 与 tracert 命令 相同 的 功能 。 然 后 ,该 命令 根据 指定 的 时 间 间 隔 定期 将 ping 
发 送 到 所 有 路 由 器 ,并 根据 每 个 路 由 器 的 返回 数值 生成 统计 结果 。 

如 果 要 查看 远程 主机 的 路 径 信息 ,由 于 到 远程 主机 往往 要 经 过 多 重 路 由 ,因此 通常 需要 
指定 禁止 解析 成 域名 ,以 加 快 查询 速度 。 在 命令 提示 符 窗口 中 输入 如 下 命令 : 


pathping sina.com.cn —n 


按 下 回 车 键 ,执行 成 功 , 结 果 如 图 9-3 所 示 。 


: Dpathping sina.con-.cn —n 


racing route to sina-com-cn [61.172.281.194] 
pver a maximum of 38 hops: 
@ 116.3.59.18@ 


图 9-3 测试 到 远程 主机 新 浪 网 的 路 径 信息 


运行 pathping 时 ,将 首先 显示 路 径 信息 。 此 路 径 与 tracert 命令 所 显示 的 路 径 相 同 。 
接着 ,将 显示 约 400s( 该 时 间 随 着 跃 点 数 的 变化 而 变化 ) 的 繁忙 消息 。 在 此 期 间 , 命 令 会 从 
先前 列 出 的 所 有 路 由 器 和 及 其 链接 之 间 收 集 信息 ,结束 时 将 显示 测试 结果 。 
4. IP 路 由 表 
route 命令 主要 用 于 手动 配置 路 由 表 , 如 添加 或 者 删除 一 条 路 由 等 ,是 网 络 管理 工作 中 
应 用 较 多 的 工具 。 使 用 不 带 参 数 的 route 命令 可 以 显示 其 帮助 信息 。 例 如 , 若 显 示 当 前 路 
由 表 中 的 所 有 项 目 , 则 在 命令 提示 符 窗口 中 输入 如 下 命令 : 


route 


route print 
按 回 车 键 ,执行 成 功 , 结 果 如 图 9-4 所 示 。 由 于 当前 计算 机 的 所 有 网 卡 均 配 置 了 IP 地 址 , 因 
此 所 有 的 这 些 项 目 都 是 自动 添加 的 。 

如 果 要 显示 IP 路 由 表 中 以 10 开始 的 路 由 项 目 ,在 命令 提示 符 窗 口中 输入 如 下 命令 : 


route print 10. * 

在 route 命令 中 支持 通配符 ,删除 一 系列 路 由 时 同样 可 以 使 用 这 种 方法 。 

5. 网 络 诊断 工具 netsh diagnostic 

可 以 使 用 netsh 网 络 诊断 命令 从 命令 行 管理 操作 系统 和 网 络 服务 参数 ,同时 进行 相关 
的 疑难 解答 。netsh 诊断 环境 的 命令 提示 符 是 netsh diag 二 。netsh diag 环境 是 Windows 
Server 2003 家 族 的 新 增 内 容 , 因 此 这 些 命令 将 不 能 在 Windows 2000 Server 环境 下 运行 。 

例如 ,要 显示 本 机 所 有 的 IP 地 址 ,在 命令 提示 符 窗口 中 依次 输入 netsh 和 diag 命令 进 
入 netsh diag 之 环境 中 ,然后 输入 show ip 命令 并 执行 ,显示 包括 本 地 主机 的 IP 地 址 和 网 卡 
名 称 ,如 图 9-5 所 示 。 


:Yroute print 


lnterface List 


-- Ms ICP Loophack interface 
eg 6f 4f £9 49 Realtek RIL8139/81@x Family Fast Fthernet 


疾 扣 各 说 刹 序 抽 划 红 口 


WAN CPPP/SLIP> Interface 


9.9-9.8 -3.59 - 116.3.59.188 
8.8.8.8 。 ol 192.168.1.178 
255.255 .255 .255 
255 .255 .255 .255 
255 .255 .255 .255 
255.8.8.8 .0. 
192.168.1.9 255.255.255.8 . 192.168.1.178 
192-168-1.178 255.255.255.255 127.8.8- 127.8-8.1 
192.168.1.255 255.255.255.255 192.168.1. 192.168.1-178 
224.8.8.9 249.9.8.8 192.168.1. 192.168.1.178 
224.8.8.9 249.9.8.8 116.3.59. 116.3.59.188 
255.255.255.255 255.255.255.255 -3.59 - 116.3.59.188 
255.255.255.255 255.255.255.255 . 中 192.168.1.178 
Default Gateway 


图 9-4 当前 所 有 路 由 项 目 


etshydiag 
etsh diagyshow ip 


IP 地 址 


1. [B8808861] Realtek RTL8139/81Bx Fanmily Fast Ethernet NIC 
IPAddress = 192.168.1.178 

2 [B85242911 WAN 袜 型 端口 <IP> 
IPAddress = 116.3.59.188 


图 9-5 显示 本 机 的 IP 地 址 


6. 显示 IP 地 址 信息 一 一 ipconfig 
ipconfig 命令 用 于 显示 所 有 当前 的 TCP/IP 网 络 配置 值 , 刷 新 DHCP 和 DNS 设置 。 使 用 
的 ipconfig 命令 可 以 显示 所 有 适配器 的 IPv6 地 址 或 Pv4 地 址 . 子 网 掩 码 和 默认 网 关 。 
例如 ,要 查看 本 地 计算 机 的 详细 网 络 配置 信息 ,在 命令 提示 符 窗口 中 输入 ipconfig /all 
并 执行 ,将 显示 包括 所 有 适配器 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 , 还 包括 主机 的 相关 配置 信 
息 ,如 主机 名 .DNS 服务 器 、 节 点 类 型 .网 络 适配器 的 物理 地 址 等 ,如 图 9-6 所 示 。 
有 的 时 候 ,网 站 DNS 域名 没 变 , 但 是 IP 地 址 改变 了 ,这 时 就 需要 重新 查询 DNS 服务 
新 建立 DNS 缓存 ,否则 将 连接 不 到 服务 器 。 方 法 是 在 命令 提示 符 窗口 输入 以 下 命令 ， 


不 带 


器 


ipconfig /flushdns 


此 命令 的 作用 等 同 于 在 Windows 操作 界面 下 , 右 击 托盘 区 域 的 “本 地 连接 ”小 图 标 , 在 
打开 的 “本 地 连接 状态 ”对 话 框 中 选择 “支持 ”选项 卡 ,然后 单 击 “ 修 复 ” 选 项 

如 果 由 于 IP 的 租约 到 期 或 者 是 手动 设置 了 不 正确 的 IP 地 址 而 导致 计算 机 无 法 上 网 ， 
这 时 只 需 让 此 计算 机 重新 从 DHCP 服务 器 获取 一 个 IP 地 址 就 行 了 。 首 先 , 在 命令 提示 符 
窗口 输入 ipconfig /release, 执 行 后 将 释放 所 有 适配器 或 特定 适配器 的 当前 DHCP 配置 并 
丢弃 IP 地 址 配置 ,接着 输入 命令 ipconfig /renew ,执行 后 将 重新 从 DHCP 服务 器 上 获取 新 
的 IP 地 址 。 
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: Yipconfig/all 


indows IP Configuration 


: C48BB8774EBC4EB 


Prinary Dns Suffix 
Node Type Unknown 
IP Routing Enabled. i 
WINS Proxy Enabled. . : No 


[Ethernet adapter 本 地 连接 : 


Connection-specific DNS Suffix - : 
Descript ion : Realtek RTL8139/818x Fanily Fast Et 
ernet NIC 

Physical fddress. - - - : 98-EB-6P-4F-F9 一 49 
Dhcp Enabled. . . - J 

。。。: 192.168.1.178 
Subnet Mask . . . 。-。。: 255.255.255.9 
Default Gatevay . : 192. 
DNS Servers - - . : 282. 

96.128.166 


图 9-6 查看 详细 的 网 络 配置 信息 


7. 网 卡 地 址 及 协议 列表 工具 

getmac 命令 用 于 返回 计算 机 中 所 有 网 卡 的 MAC 地 址 ,以 及 每 个 地 址 的 网 络 协议 列 
表 , 既 可 以 应 用 本 地 计算 机 ,又 可 以 通过 网 络 获 取 远 程 主 机 或 者 用 户 计 算 机 的 MAC 地 址 等 
相关 信息 。 

例如 , 若 要 获取 本 地 的 网 卡 地 址 以 及 协议 名 称 , 则 在 命令 提示 符 窗口 中 输入 getmac 命 
令 并 执行 ,结果 如 图 9-7 所 示 。 


getmac 


-EG-6P—4F-F9—48 ‘Device\Icpip_84168C34-AB41-43D9-AF68-B?7282DC456DB》 


图 9-7 本 地 网 卡 地 址 以 及 协议 名 称 


如 果 要 查看 MAC 地 址 的 详细 信息 , 则 在 命令 提示 符 窗口 中 输入 如 下 命令 : 


getmac /fo table /nh /v 


8. 网 络 协议 统计 工具 

netstat 程序 有 助 于 了 解 网 络 的 整体 使 用 情况 , 它 可 以 显示 当前 正在 活动 的 网 络 连接 的 
详细 信息 ,例如 显示 网 络 连接 .路 由 表 和 网 络 接口 信息 ,可 以 让 用 户 得 知 目前 共有 哪些 网 络 
连接 正在 运行 。 可 以 使 用 netstat/? 命令 来 查看 一 下 该 命令 的 使 用 格式 以 及 详细 的 参数 说 
明 。 利 用 该 程序 提供 的 参数 功能 ,可 以 了 解 该 命令 的 其 他 功能 信息 ,例如 显示 以 太 网 的 统计 
信息 ,显示 所 有 协议 的 使 用 状态 ,这 些 协议 包括 TCP 协议 .UDP 协议 、IP 协议 等 。 另 外 ,还 
可 以 选择 特定 的 协议 并 查看 其 具体 使 用 信息 ,还 能 显示 所 有 主机 的 端口 号 以 及 当前 主机 的 
详细 路 由 信息 。 

例如 ,如 果 想 要 了 解 主机 的 出 口 地 址 .网 关 地 址 等 信息 , 则 在 命令 提示 符 窗口 中 输入 
netstat, 按 下 回 车 键 执行 ,结果 如 图 9-8 


netstat 


:Vnetstat 


Foreign Addres 


ss ate 
61.135.158. rE re ESTABLISHED 

CLOSE_WAIT 

CLOSE_WAIT 

CLOSE_WAIT 

CLOSE_WAIT 

38: CLOSE_WAIT 

CA8BB8774EBC4E8:2881 。 zz-12-179-a8_bta net cn:http ESTh 


图 9-8 netstat 命令 


9.4.2 硬件 工具 


. 物理 线 绕 测试 仪 
ipt - 般 指 的 是 现场 测试 仪 ,作用 是 进行 布线 故障 问题 诊 
管理 员 能 够 在 最 短 的 时 间 内 发 现 布 线 错误 
测试 仪 ,网络 线 绕 认 证 测试 仪 .网络 验 证 测试 仪 等 几 类 产品 。 


如 图 9-9 所 示 是 美国 福禄克 公司 推出 的 一 款 集 多 种 测试 功能 于 一 


断 , 以 便 工程 师 和 


` 排 除 故 障 。 物 理 线 线 测试 仪 可 以 分 为 网 络 线 线 


身 的 网 络 测试 仪 


器 一 一 MicroScanner Pro 数字 式 超 5 类 电缆 分 析 仪 。 它 专 为 防止 和 解决 电缆 安装 问题 而 设 
计 , 可 以 检测 电缆 的 通 断 .电缆 的 连接 线 序 .电缆 故障 的 位 置 等 方面 ,其 显著 的 特色 就 是 将 一 


系列 测试 结果 直观 地 反映 在 显示 屏 上 。 
图 9-10 是 一 

费 测试 和 简易 网 络 测试 多 项 功能 的 手持 仪表 。 具 体 功 能 如 下 : 
1) 线 缆 测 试 


款 国产 的 线 缆 测 试 仪 一 一 TPT-8020A。 该 款 测试 仪 是 一 款 综合 了 高 级 线 


(1) 长 度 测试 : 满足 双 绞 线 、 电 话 线 、 同 轴 电缆 .普通 导线 等 多 种 线 缆 测试 要 求 。 
(2) 线 序 测试 : 显示 线 序 图 ; 可 检测 是 否 为 屏蔽 网 线 ,诊断 开路 .短路 . 线 序 错 等 故障 ; 


检测 线 缆 是 否 满足 T568A/B 标准 要 求 。 


(3) 音频 寻 线 : 可 产生 多 达 四 种 不 同 的 音频 信号 ,用 于 在 天 花 板 或 配 线 柜 中 查找 线 缆 。 
(4) 端口 识别 : 识别 端口 和 插座 类 型 ,如 以 太 网 ,电话 等 。 以 太 网 可 以 显示 速率 和 双 工 


模式 ,最 高 支持 1000Mbps。 


图 9-9 物理 线 缆 测 试 仪 图 图 9-10 TPT-8020A 


2) 网 络 测试 


测试 仪 


(1) 闪 亮 端口 : 闪烁 集线器 或 交换 机 端口 指示 灯 ,帮助 确定 端口 位 置 。 


(2) ping 测试 : 支持 ping 功能 ,检测 网 络 丢 包 等 故障 。 
(3) DHCP 测试 : 支持 DHCP 自动 获取 或 手动 设置 IP 地 址 。 


网 络 玖 辜 诊 断 与 维护 


击 心 淹 


网 络 管 理 技 术 教 程 


(4) 网 络 扫描 : 检测 设 定 网 段 中 正在 使 用 的 主机 数量 ,并 显示 IP 地 址 和 MAC 地 址 。 

2. 网 络 测试 仪 

网 络 测试 仪 通常 也 称 智 能 网 络 测试 仪 , 它 将 网 络 管理 ,故障 诊断 和 网 络 安装 调试 等 众多 功 
能 集中 在 一 个 仪器 里 , 它 可 以 通过 网 桥 、 路 由 器 很 容易 地 观察 整个 网 络 的 健康 状况 ,甚至 可 以 
诊断 出 远 端 网 络 的 问题 。 测 试 仪 的 高 级 SNMP 还 可 以 连续 获取 并 不 断 更 新 故障 网 络 的 信息 。 
网 络 测试 仪 可 以 帮助 网 络 管理 人 员 在 较 短 的 时 间 内 对 网 络 的 运行 情况 ,以 及 故障 点 做 出 判断 。 

网 络 测试 仪 可 以 检测 OSI 模型 定义 的 物理 层 数据 链 路 层 、 网 络 层 运行 状况 ,主要 适用 
于 局 域 网 故障 检测 和 综合 布线 施工 ,用 以 检测 的 传输 介质 通常 包括 双 绞 线 、 同 轴 电 缆 和 光纤 
等 。 网 络 测试 仪 的 功能 涵盖 物理 层 . 数 据 链 路 层 和 网 络 层 ,主要 功能 有 电缆 诊断 、 线 序 扫描 ， 
拓扑 监测 .ping IP、 端 口 识别 .POE 检测 等 。 

网 络 测试 仪 按 网 络 连 接 方式 可 以 分 为 无 线 网 络 测试 仪 和 有 线 网 络 测试 仪 两 类 。 

(1) 有 线 网 络 测试 仪 

有 线 网 络 中 常见 的 传输 介质 包括 双 绞 线 .光纤 和 同 轴 电 缆 。 同 轴 电 缆 已 经 很 少见 了 , 普 
遍 被 使 用 的 是 双 绞 线 , 光 纤 是 未 来 网 络 的 发 展 方向 。 市 场 上 针对 传输 介质 开发 出 的 网 络 测 
试 仪 ,分 为 光纤 网 络 测试 仪 和 双 绞 线 网 络 测试 仪 ,光纤 网 络 测 试 仪 并 不 常用 ,所 以 通常 所 说 
的 网 络 测 试 仪 都 是 指 双 绞 线 网 络 测试 仪 。 

如 图 9-11 所 示 为 安捷伦 J6800A 网 络 分 析 仪 。 该 款 产 品 主要 用 于 数据 网 络 的 安装 部 
署 、 维 护 与 优化 ,适用 于 电信 运营 商 的 现场 安装 与 维护 、 企 业 网 络 的 网 络 管理 与 设备 制造 商 
研发 部 门 的 各 类 工程 技术 人 员 。 它 既 支 持 集中 式 的 网 络 故障 诊断 ,又 支持 分 布 式 网 络 状况 
监测 ,涵盖 局 域 网 广域网 .ATM.\IP 电话 、 移 动 (包括 3G) .NGN 等 各 类 应 用 。 

此 外 , 它 可 以 实现 集中 式 故 障 定位 与 分 布 式 监测 分 析 功 能 。 集 中 式 测 试 具备 双 端口 测 
试 功 能 ,实现 LAN-LAN、LAN-WAN、LAN-ATM 多 种 组 合 测试 ; 分 布 式 测试 能 够 同时 测 
量 网 络 中 多 个 测试 点 的 协议 与 网 络 性 能 状况 ,采集 网 络 数据 信息 ,排查 间隙 性 与 深层 网 络 问 
题 ,全 方位 管理 与 监测 网 络 。 

(2) 无 线 网 络 测试 仪 

无 线 网 络 测试 仪 主要 是 针对 无 线路 由 和 AP 进行 检测 ,可 以 排查 出 无 线 网 络 中 连接 的 
终端 和 无 线 信 号 强度 ,进而 能 有 效 地 管理 网 络 中 的 节点 ,增强 网 络 安 全 性 。 该 类 产品 技术 还 
不 是 很 成 熟 , 随 着 无 线 网 络 的 推广 ,无 线 网 络 测试 仪 也 会 越 来 越 受 网 络 管理 的 重视 ,成 为 一 
种 重要 的 检测 工具 。 

如 图 9-12 所 示 的 WP150 无 线 网 络 测试 仪 , 是 一 款 多 功能 无 线 网 络 故障 诊断 和 维护 工 
具 。 它 可 以 帮助 无 线 网 络 安装 商 和 使 用 者 快速 识别 .查看 和 配置 无 线 网 络 的 重要 信息 并 发 
现 潜在 的 故障 现象 。 


图 9-11 安捷伦 J6800A 网 络 测试 仪 图 9-12 WP150 无 线 网 络 测试 仪 


3. 协议 分 析 仪 

协议 分 析 仪 是 能 够 捕获 网 络 报 文 的 设备 ,能 够 找 出 网 络 中 潜在 的 问题 。 协 议 分 析 仪 在 
功能 和 设计 方面 有 很 多 不 同 ,有 些 只 能 分 析 一 种 协议 ,而 另 一 些 能 够 分 析 几 百 种 协议 。 一 般 
情况 下 ,大 多 数 的 协议 分 析 仪 至 少 能 够 分 析 以 太 网 .TCP/IP、IPX、DECNet 等 协议 。 

协议 分 析 仪 通常 是 软 硬 件 的 结合 ,通常 使 用 专用 硬件 或 设置 为 专用 方式 的 网 卡 实施 对 
网 络 中 的 数据 捕捉 。 捕 获 在 网 络 中 传输 的 数据 信息 的 方法 称 为 sniffing( 嗅 探 ) 。 

协议 分 析 仪 的 工作 从 原理 上 分 为 数据 采集 和 协议 分 析 两 个 部 分 。 对 这 两 部 分 的 工作 从 
实现 的 形式 上 来 说 有 以 下 常见 的 几 种 形式 。 

(1) 纯 软 件 的 协议 分 析 系 统 

大 多 数 的 纯 软 件 协议 分 析 仪 可 以 使 用 普通 网 卡 来 完成 简单 的 数据 采集 工作 ,这 就 是 使 
用 率 最 多 的 “协议 分 析 软 件 十 PC 网 卡 ”。 本 来 协议 分 析 工 作 就 是 基于 软件 分 析 的 工作 ,所 
以 再 高 端的 协议 分 析 仪 其 软件 部 分 也 是 由 计算 机 平台 实现 的 。 

(2) 基于 “笔记 本 十 数据 采集 箱 ” 的 便携 式 协议 分 析 仪 

这 种 方式 与 上 述 采 用 “协议 分 析 软 件 十 PC 网 卡 ” 的 主要 区 别 就 是 专用 的 数据 采集 系 
统 。 在 相对 复杂 和 高 速 的 网 络 链 路 上 ,要 想 全 线 速 地 捕捉 或 更 有 效 地 进行 实时 数据 过 滤 , 采 
用 专用 的 数据 采集 方式 是 必须 的 。 

(3) 手持 式 综合 协议 分 析 仪 

从 协议 分 析 仪 发 展 的 角度 来 说 ,网 络 维护 人 员 越 来 越 需要 使 用 功能 强大 并 能 将 多 种 网 
络 测试 手段 集 于 一 身 的 综合 式 测试 分 析 手 段 , 典 型 的 协议 分 析 仪 上 的 功能 延展 就 是 加 入 网 
管 功能 .自动 网 络 信息 搜集 功能 、 智 能 的 专家 故障 诊断 功能 ,并 且 移 动 性 能 要 有 效 。 这 种 综 
合 的 协议 分 析 仪 或 者 说 是 综合 的 网 络 分 析 仪 成 为 了 当今 网 络 维护 测试 仪 的 主要 发 展 趋势 ， 
像 Fluke 的 OptiView INA 自 上 市 以 来 在 网 络 现场 分 析 、 故 障 诊断 、 网 络 维护 中 得 到 了 相当 
广泛 的 应 用 和 发 展 。 

(4) 分 布 式 协议 分 析 仪 

随 着 网 络 维护 规模 的 加 大 ,网 络 技术 的 变化 ,网 络 关 键 数据 的 采集 也 越 来 越 困 难 。 有 时 
为 了 分 析 和 采集 数据 ,必须 在 异地 同时 进行 采集 ,于 是 将 协议 分 析 仪 的 数据 采集 系统 独立 开 
来 ,能 安置 在 网 络 的 不 同 地 方 , 由 能 控制 多 个 采集 器 的 协议 分 析 仪 平台 进行 管理 和 数据 处 
理 , 这 种 应 用 模式 就 促 生 了 分 布 式 协议 分 析 仪 。 

图 9-13 为 OptiView 集成 式 网 络 分 析 仪 ,是 一 款 硬 
件 和 软件 的 集成 式 解决 方案 ,可 以 提供 对 整个 企业 网 
络 的 便携 式 或 分 布 式 的 透视 能 力 。OptiView 将 协议 分 
析 、 流 量 分 析 和 网 络 搜 索 三 大 功能 集 于 一 身 , 提 供 了 全 
新 的 快速 、 易 用 、 深 层 透 视 、 有 助 于 优化 WAN、LAN 和 
WLAN 性 能 的 网 络 分 析 解 决 方案 。 该 分 析 仪 包括 一 


个 高 性 能 协议 分 析 仪 ,一 个 快速 电缆 测试 仪 ,一 个 
RMONv2 探头 图 9-13 ”Optiview 集成 式 网 络 分 析 仪 
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9.5 常见 的 网 络 故障 及 解决 方法 


9.5.1 工作 站 故障 


1. IP 地 址 冲突 

使 用 TCP/IP 协议 的 每 台 计 算 机 必须 有 自己 独立 的 IP 地 址 ,有 了 IP 地 址 才能 与 网 络 
上 的 其 他 主机 进行 通信 。 一 般 情况 下 ,IP 地 址 配置 不 正确 ,主要 表现 为 IP 地 址 冲突 。 如 下 
几 种 情况 可 以 造成 IP 地 址 冲突 : 

(1) 用 户 对 TCP/IP 并 不 了 解 ,不 知道 IP 地 址 . 子 网 掩 码 、 默 认 网 关 等 参数 如 何 设 置 ， 
有 时 用 户 不 是 从 管理 员 处 得 到 上 述 参数 的 信息 ,或 者 是 用 户 无 意 修改 了 这 些 信息 。 

(2) 管理 员 或 用 户 根据 管理 员 提 供 的 上 述 参 数 进行 设置 时 ,由 于 失误 造成 参数 输 错 。 

(3) 维修 调试 时 ,维修 人 员 使 用 临时 IP 地 址 所 致 。 

(4) 故意 窃 用 他 人 的 IP 地 址 。 

2. 于 网 拖 公 设置 不 正确 

子 网 掩 码 是 一 个 32 位 地 址 ,是 与 IP 地 址 结合 使 用 的 一 种 技术 。 它 的 主要 作用 有 两 个 : 
一 是 用 于 屏蔽 IP 地 址 的 一 部 分 以 区 别 网 络 标识 和 主机 标识 ,并 说 明 该 IP 地 址 是 在 局 域 网 
上 ,还 是 在 远程 网 上 ; 二 是 用 于 将 一 个 大 的 IP 网 络 划分 为 若干 小 的 子 网 络 。 

在 同一 网 段 中 的 计算 机 应 该 具有 相同 的 子 网 掩 码 。 如 果子 网 掩 码 不 同 , 就 算是 位 于 同 
网 段 的 计算 机 也 不 可 能 通信 。 所 以 ,如 果 同 一 网 段 的 计算 机 之 间 不 能 通信 ,除了 IP 地 
址 必须 正确 以 外 , 子 网 掩 码 也 必须 相同 。 

3. 没有 安装 网 络 协议 
网 络 协议 是 网 络 上 所 有 设备 之 间 通 信 规 则 的 集合 , 它 规定 了 通信 时 信息 必须 采用 的 格 
式 和 这 些 格式 的 意义 。 

不 同 的 计算 机 之 间 必 须 使 用 相同 的 网 络 协议 才能 进行 通信 。 在 网 络 的 各 层 中 存在 着 许 
多 协议 ,接收 方 和 发 送 方 同 层 的 协议 必须 一 致 ,否则 一 方 将 无 法 识别 另 一 方 发 出 的 信息 。 网 
络 协议 使 网 络 上 各 种 设备 能 够 相互 交换 信息 。 常 见 的 协议 有 : TCP/IP 协议 、IPX/SPX 协 
议 、.NetBEUI 协议 等 。 用户 如 果 访 问 Internet, 则 必须 在 网 络 协议 中 添加 TCP/IP 协议 。 

TCP/IP 协议 规范 了 网 络 上 的 所 有 通信 设备 ,尤其 是 一 个 主机 与 男 一 个 主机 之 间 的 数 
据 往 来 格式 以 及 传送 方式 。TCP/IP 是 Internet 的 基础 协议 ,也 是 一 种 数据 打包 和 寻 址 的 
标准 方法 。 

4. 网 关 没有 设置 或 设置 不 正确 

网 关 是 一 个 网 络 通 向 其 他 网 络 的 IP 地 址 ,要 实现 这 两 个 网 络 之 间 的 通信 ,必须 通过 网 
关 。 如 果 网 络 A 中 的 主机 发 现 数据 包 的 目的 主机 不 在 本 地 网 络 中 .就 把 数据 包 转 发 给 它 自 
己 的 网 关 , 再 由 网 关 转 发 给 网 络 B 的 网 关 , 网 络 B 的 网 关 再 转发 给 网 络 B 的 某 个 主机 。 所 
以 ,只 有 设置 好 网 关 的 IP 地 址 ,TCP/IP 协议 才能 实现 不 同 网 络 之 间 的 相互 通信 。 

5. DNS 地 址 设置 不 正确 

DNS 设置 不 正确 ,就 不 能 对 IP 地 址 进行 解析 ,也 就 无 法 使 用 域名 进行 网 络 访问 ,而 只 
有 使 用 IP 地 址 进行 网 络 访问 。 如 果 在 访问 网 站 时 ,在 浏览 器 中 输入 IP 地 址 可 以 访问 某 一 
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网 站 , 却 无 法 通过 域名 进行 访问 ,在 这 种 情况 下 ,首先 检查 是 否 设置 了 DNS 地 址 ,或 确认 地 
址 是 否 正 确 。 如 果 DNS 地 址 无 问题 , 则 可 能 是 网 站 的 DNS 服务 器 出 了 问题 。 


9.5.2 服务 器 故障 


1. 服务 器 常见 的 故障 及 排除 方法 

(1) 服务 被 中 止 

由 于 用 户 过 多 ,内 存 占用 过 大 等 原因 ,服务 器 上 的 服务 被 中 止 ,这 时 可 以 在 服务 器 上 检 
查 出 该 项 服务 是 否 被 中 止 。 若 被 中 止 , 则 重新 启动 该 项 服务 即 可 。 

(2) 流量 问题 

由 于 服务 器 需要 为 大 量 的 用 户 提供 大 量 的 服务 ,流量 过 大 或 大 量 的 错误 帧 的 出 现 , 都 有 
可 能 产生 拥塞 现象 甚至 是 广播 风暴 ,导致 服务 器 的 性 能 下 降 甚至 死机 。 通 常 如 果 利用 率 过 
高 (平均 值 大 于 40% ,瞬时 峰值 高 于 60%), 则 网 络 负荷 就 过 重 了 。 如 果 利 用 率 很 高 ,其 持续 
峰值 超过 60% ,而 平均 碰撞 小 于 10% ,那么 网 络 就 饱和 了 ,这 种 情况 可 以 利用 网 络 分 析 仪 等 
工具 对 服务 器 网 卡 的 流量 和 数据 帧 进行 检测 。 同 时 可 以 分 析 异 常 流量 来 自 何 处 ,以 便 采取 
相应 的 措施 。 

(3) 系统 资源 不 足 

服务 器 上 提供 的 服务 越 多 ,服务 器 对 设置 和 硬件 要 求 也 就 越 高 。 若 服务 器 的 软 、 硬 件 资 
源 不 能 满足 要 求 ,或 由 于 计算 机 蠕虫 等 病毒 抢占 计算 机 资源 ,也 会 造成 计算 机 性 能 下 降 或 网 
络 故障 。 如 果 是 前 一 个 原因 ,其 解决 的 方法 是 提升 软 、 硬 件 设备 的 能 力 ,或 对 系统 资源 重新 
设置 。 例 如 ,加 大 服务 器 的 内 存 、 加 大 缓冲 内 存 和 删除 不 必要 的 临时 文件 ,这 在 一 定 程 度 上 
可 以 缓解 或 解决 系统 对 内 存 的 要 求 。 若 是 后 者 , 查 杀 病毒 并 重新 启动 服务 即 可 ,但 要 以 防止 
病毒 的 入侵 为 主 , 须 安装 防 病毒 的 软件 。 

(4) 服务 器 软件 故障 

服务 器 软件 故障 是 在 服务 器 故障 中 占有 比例 最 高 的 部 分 , 约 占 70%。 导 致 服务 器 出 现 
软件 故障 的 原因 有 很 多 ,最 常见 的 是 服务 器 BIOS 版 本 太 低 .服务 器 的 管理 软件 或 服务 器 的 
驱动 程序 有 BUG ,应 用 程序 有 冲突 及 人 为 造成 的 软件 故障 。 服 务 器 软件 设置 不 当 也 可 能 造 
成 网 络 故障 。 例 如 ,每 一 个 网 络 服务 都 要 有 相应 的 服务 端口 ,如 果 其 端口 被 其 他 服务 占用 ， 
则 该 服务 就 不 能 正常 运行 。 这 种 情况 ,一 般 可 以 通过 改变 端口 的 设置 来 解决 。 另 外 ,客户 机 
的 浏览 器 本 身 有 故障 或 配置 不 正确 也 会 导致 连接 不 到 服务 器 ,这 种 情况 可 以 通过 重新 安装 
浏览 器 来 解决 。 

(5) 管理 方面 的 问题 

服务 器 由 于 管理 不 善 造成 一 些 问 题 ,如 用户 的 账户 和 安全 设置 方面 的 潜在 问题 ,服务 权 
限 配置 不 当 或 限制 某 些 服务 等 问题 ,这 些 问 题 需要 通过 重新 配置 来 解决 。 

2. 服务 器 故障 排除 的 基本 原则 

1) 尽量 恢复 系统 默认 配置 

(1) 硬件 配置 : 去 除 第 三 方 厂商 备件 和 非 标 配备 件 。 

(2) 资源 配置 : 清除 CMOS, 恢 复 资源 初始 配置 。 

(3) BIOS、F/W .驱动 程序 : 升级 最 新 的 BIOS、F/W 和 相关 驱动 程序 。 

(4) TPL: 扩展 的 第 三 方 的 WO 卡 应 属于 该 机 型 的 硬件 兼容 列表 (TPL)。 
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2) 从 基本 到 复杂 

(1) 系统 上 从 个 体 到 网 络 : 首先 将 存在 故障 的 服务 器 独立 运行 , 待 测试 正常 后 再 接 入 
网 络 运行 ,观察 故障 现象 变化 并 处 理 。 

(2) 硬件 上 从 最 小 系统 到 现实 系统 : 从 可 以 运行 的 硬件 开始 ,逐步 扩展 到 现实 系统 
为 止 。 

(3) 软件 上 从 基本 系统 到 现实 系统 : 从 基本 操作 系统 开始 ,逐步 扩展 到 现实 系统 为 止 。 

3) 交换 对 比 

(1) 在 最 大 可 能 相同 的 条 件 下 ,交换 操作 简单 效果 明显 的 部 件 。 

(2) 交换 NOS 载体 , 即 交 换 软件 环境 。 

(3) 交换 硬件 , 即 交 换 硬件 环境 。 

(4) 交换 整 机 , 即 交 换 整 体 环境 。 

3. 服务 器 故障 排除 需要 收集 的 信息 

(1) 服务 器 信息 : 机 器 型 号 (P/N)、 机 器 序列 号 (S/N)、BIOS 版 本 ,是否 增 加 其 他 设备 、 
硬盘 如 何 配置 (是 否 做 阵列 ,阵列 级 别 ) .安装 什么 操作 系统 及 版 本 。 

(2) 故障 信息 : 在 POST 时 ,屏幕 显示 的 异常 信息 .服务 器 本 身 指 示 灯 的 状态 .报警 声 
和 BEEP CODES NOS 的 事件 记录 文件 .Events Log 文件 。 

(3) 确定 故障 类 型 和 故障 现象 : 开机 无 显示 、 上 电 自 检 阶 段 故 障 、 安 装 阶段 故障 和 现 
象 . 操 作 系统 加 载 失 败 ,系统 运行 阶段 故障 。 


9.5.3 交换 机 故障 


交换 机 故障 一 般 可 以 分 为 硬 故障 和 软 故障 两 大 类 。 

1. 硬 故 障 

硬 故 障 主要 指 交 换 机 电源 、 背 板 .模块 端口 , 线 缆 等 部 件 的 故障 ,可 以 分 为 以 下 几 类 。 

(1) 电源 故障 

由 于 外 部 供电 不 稳定 ,或 者 电源 线路 老化 或 者 雷击 等 原因 导致 电源 损坏 或 者 风扇 停止， 
从 而 不 能 正常 工作 。 由 于 电源 缘故 而 导致 机 内 其 他 部 件 损坏 的 事情 也 经 常 发 生 。 

通常 面板 上 的 Power 指示 灯 是 绿色 的 ,就 表示 是 正常 的 ; 如 果 该 指示 灯 灭 了 , 则 说 明 交 
换 机 没有 正常 供电 。 这 类 问题 很 容易 发 现 ,也 很 容易 解决 ,同时 也 是 最 容易 预防 的 。 

针对 这 类 故障 ,首先 应 该 做 好 外 部 电源 的 供应 工作 ,一般 通过 引入 独立 的 电力 线 来 提供 
独立 的 电源 ,并 添加 稳 压 器 来 避免 瞬间 高 压 或 低压 现象 。 如 果 条 件 允 许 , 可 以 添加 UPS 来 
保证 交换 机 的 正常 供电 ,有 的 UPS 提供 稳 压 功能 ,而 有 的 没有 ,选择 时 要 注意 。 在 机 房 内 设 
置 专业 的 避雷 措施 ,来 避免 雷电 对 交换 机 的 伤害 。 现 在 有 很 多 做 避雷 工程 的 专业 公司 ,实施 
网 络 布线 时 可 以 考虑 。 

(2) 端口 故障 

这 是 最 常见 的 硬件 故障 ,无 论 是 光纤 端口 还 是 双 绞 线 的 RJ-45 端口 ,在 插 拔 接头 时 一 定 
要 小 心 。 如 果 不 小 心 把 光纤 插头 和 弄 脏 ,可 能 导致 光纤 端口 污染 而 不 能 正常 通信 。 带 电 插 拔 
接头 从 理论 上 讲 是 可 以 的 ,但 是 这 样 也 无 意 中 增 加 了 端口 的 故障 发 生 率 。 在 搬运 时 不 小 心 ， 
也 可 能 导致 端口 物理 损坏 。 如 果 购 买 的 水 晶 头 尺寸 偏 大 ,插入 交换 机 时 ,也 容易 破坏 端口 。 
此 外 ,如 果 接 在 端口 上 的 双 绞 线 有 一 段 暴 露 在 室外 ,万 一 这 根 电 缆 被 雷电 击 中 ,就 会 导致 所 


连 交 换 机 端口 被 击 坏 ,或 者 造成 更 加 不 可 预料 的 损伤 。 

一 般 情况 下 ,端口 故障 是 某 一 个 或 者 几 个 端口 损坏 。 所 以 ,在 排除 了 端口 所 连 计算 机 的 
故障 后 ,可 以 通过 更 换 所 连 端口 来 判断 其 是 否 损坏 。 遇 到 此 类 故障 ,可 以 在 电源 关闭 后 ,用 
酒精 棉 球 清洗 端口 。 如 果 端 口 确实 被 损坏 , 那 就 只 能 更 换 端口 了 。 

(3) 模块 故障 

交换 机 是 由 堆 秋 模块 .管理 模块 (也 叫 控 制 模块 ) .扩展 模块 等 很 多 模块 组 成 的 。 虽 然 这 些 
模块 发 生 故 障 的 几率 很 小 ,不 过 一 旦 出 现 问题 ,就 会 遭受 巨大 的 经 济 损失 。 如 果 插 拔 模 块 时 不 
小 心 ,或 者 搬运 交换 机 时 受到 碰撞 ,或 者 电源 不 稳定 等 情况 ,都 可 能 导致 此 类 故障 的 发 生 。 

在 排除 此 类 故障 时 ,首先 应 确保 交换 机 及 模块 的 电源 正常 供电 ,然后 检查 各 个 模块 是 否 
插 在 正确 的 位 置 上 ,最 后 检查 连接 模块 的 线 缆 是 否 正常 。 在 连接 管理 模块 时 ,还 要 考虑 它 是 
否 采用 规定 的 连接 速率 ,是 否 有 奇偶 校 验 ,是 否 有 数据 流 控制 等 因素 。 连 接 扩 展 模块 时 , 需 
要 检查 是 否 匹 配 通 信 模 式 。 当 然 , 如 果 确 认 模块 有 故障 ,解决 的 方法 只 有 一 个 , 那 就 是 应 当 
立即 联系 供应 商 处 理 。 

(4) 背 板 故障 

交换 机 的 各 个 模块 都 是 接 插 在 背 板 上 的 。 如 果 环 境 潮湿 ,电路 板 受潮 短路 ,或 者 元 器 件 
因 高 温 、 雷 击 等 因素 而 受 损 ,都 会 造成 电路 板 不 能 正常 工作 。 如 果 散 热 性 能 不 好 或 环境 温度 
太 高 ,将 导致 机 内 温度 升 高 而 使 元 器 件 烧 坏 。 

在 外 部 电源 正常 供电 的 情况 下 ,如 果 交 换 机 的 各 个 内 部 模块 都 不 能 正常 工作 , 那 就 可 能 
是 背 板 坏 了 , 遇 到 这 种 情况 即使 是 电器 维修 工程 师 , 慌 怕 也 无 计 可 施 , 唯 一 的 办 法 就 是 更 换 
背 板 了 。 

(5) 线 缆 故 障 

从 理论 上 讲 , 这 类 故障 不 属于 交换 机 本 身 的 故障 ,但 在 实际 使 用 中 ,电缆 故障 经 常 导致 
交换 机 系统 或 端口 不 能 正常 工作 ,所 以 这 里 也 把 这 类 故障 归 和 交换 机 硬件 故障 。 比 如 接头 
接 插 不 紧 , 线 缆 制 作 时 顺序 排列 错误 或 者 不 规范 , 线 缆 连 接 时 应 该 用 交叉 线 却 使 用 了 直 连 
线 , 光 缆 中 的 两 根 光纤 交错 连接 ,错误 的 线路 连接 导致 网 络 环 路 等 。 

从 上 面 的 几 种 硬件 故障 来 看 ,机 房 环 境 不 佳 极 易 导致 各 种 硬件 故障 ,所 以 在 建设 机 房 
时 ,必须 先 做 好 防 雷 接地 及 供电 电源 、 室 内 温度 、 室 内 湿度 、 防 电磁 干扰 、 防 静电 等 环境 的 建 
设 , 为 网 络 设备 的 正常 工作 提供 良好 的 环境 。 

2. 软 故 障 

交换 机 的 软 故障 是 指 系 统 及 其 配置 上 的 故障 , 它 可 以 分 为 以 下 几 类 。 

(1) 系统 错误 

交换 机 系统 是 硬件 和 软件 的 结合 体 。 在 交换 机 内 部 有 一 个 可 刷新 的 只 读 存 储 器 , 它 保 
存 的 是 这 台 交 换 机 所 必需 的 软件 系统 。 由 于 设计 的 原因 ,可 能 会 存在 一 些 漏洞 ,在 某 些 条 件 
下 ,会 导致 交换 机 满载 . 丢 包 、 错 包 等 情况 的 发 生 。 

对 于 此 类 问题 ,需要 养 成 经 常 浏览 设备 厂商 网 站 的 习惯 ,如 果 有 新 的 系统 推出 或 者 新 的 
补丁 ,请 及 时 更 新 。 

(2) 配置 不 当 

由 于 对 交换 机 的 性 能 等 技术 指标 不 熟悉 可 能 会 导致 配置 错误 的 出 现 。 比 如 VLAN 划 
分 不 当 导 致 网 络 不 通 、 端 口 被 错误 地 关闭 .交换 机 和 网 卡 的 模式 不 匹配 等 原因 。 这 类 故障 有 
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时 很 难 发 现 , 如 果 不 能 确保 配置 的 正确 性 ,最 好 先 恢复 出 厂 的 默认 配置 ,然后 再 一 步 一 步 地 
配置 。 

在 配置 之 前 先 阅读 说 明 书 是 好 的 习惯 之 一 。 每 台 交换 机 都 有 详细 的 安装 手册 用户 手 
册 , 深 入 到 每 类 模块 都 有 详细 的 讲解 。 如 果 还 有 不 清楚 之 处 ,就 需要 向 供应 商 的 工程 师 咨 询 
后 再 做 具体 配置 。 


9.5.4 路 由 器 故障 


在 路 由 器 出 现 的 故障 中 ,大 体 可 以 分 为 两 类 : 一 类 是 硬 故 障 , 另 一 类 是 软 故障 。 

1. 硬 故 障 

常见 的 硬 故 障 通 常 表现 在 硬件 上 ,一 般 有 以 下 几 种 。 

(1) 系统 不 能 正常 加 电 

表现 为 当 打 开路 由 器 的 电源 开关 时 ,路 由 器 前 面板 的 电源 灯 不 亮 ,风扇 不 转 。 这 时 要 重 
点 检查 电源 系统 ,看 供电 插座 是 否 有 电 , 电 压 是 否 在 规定 的 范围 内 。 如 果 供电 正常 ,应 该 检 
查 电源 线 是 否 完好 ,接触 是 否 牢靠 ,必要 时 可 以 换 一 根 ,如 果 还 不 行 ,可 判定 问题 应 该 出 在 路 
由 器 的 电源 上 。 先 检查 路 由 器 电源 的 保险 是 否 完 好 , 若 烧 了 应 该 更 换 , 若 还 不 行 只 好 送 修 。 

(2) 部 件 损坏 

这 类 情况 在 硬件 故障 中 是 比较 常见 的 ,这 里 的 部 件 往 往 是 接口 卡 ,表现 为 当 把 有 问题 部 
件 插 到 路 由 器 中 时 ,系统 其 他 部 分 都 工作 正常 ,但 无 法 正确 识别 有 问题 的 部 件 ,这 时 往往 是 
因为 部 件 本 身 有 问题 。 还 有 一 种 情况 ,就 是 部 件 可 以 被 正确 识别 ,但 做 完 正确 配置 后 ,接口 
就 是 不 能 正常 工作 ,这 往往 是 因为 存在 物理 故障 。 要 确认 以 上 这 两 种 情况 ,最 好 用 相同 型 号 
的 好 的 部 件 替 换 怀疑 有 问题 的 部 件 , 就 可 以 确认 问题 是 否 存在 了 。 

(3) 系统 软件 损坏 

这 种 故障 似乎 应 该 归 入 软件 故障 ,但 由 于 这 种 情况 往往 是 路 由 器 本 身 存在 的 问题 , 且 与 
硬件 紧密 相关 ,所 以 不 妨 把 它 归 类 于 此 。 以 Cisco 的 路 由 器 为 例 ,如 果 路 由 器 开机 后 总 是 进 
入 rmon 状态 ,这 往往 说 明 系 统 软 件 IOS 存在 问题 ,不 妨 将 IOS 重新 写 一 遍 。 

(4) 其 他 

这 里 所 要 提 到 的 是 这 样 一 些 情况 ,有 了 时 在 对 系统 软件 进行 升级 时 ,发 现 系 统 无 论 怎 样 也 
不 能 完成 升级 。 这 时 不 妨 检 查 一 下 所 要 升级 的 软件 的 大 小 是 否 超过 了 路 由 器 的 NVRAM 
的 容量 。 如 果 超 过 了 , 则 无 论 如 何 也 无 法 完成 升级 ,这 时 应 该 先 扩充 NVRAM 的 容量 ,再 升 
级 系统 软件 。 

2. 软 故障 

(1) 功能 无 法 实现 

有 些 时 候 , 用 户 要 做 某 些 特定 的 配置 (如 NAT) ,反复 检查 后 ,确认 配置 正确 ,可 相应 的 
功能 就 是 实现 不 了 。 这 时 先 不 要 怀疑 设备 有 问题 ,最 好 找 一 找 系 统 软件 的 版 本 号 ,并 查找 相 
关 的 说 明 ,看 一 看 所 使 用 的 软件 的 版 本 是 否 支持 这 个 功能 。 因 为 路 由 器 的 系统 软件 往往 有 
许多 版 本 ,每 个 版 本 支持 不 同 的 功能 。 如 果 当 前 的 软件 版 本 不 支持 这 个 功能 , 那 就 应 该 找到 
相应 的 软件 ,先进 行 升级 。 

(2) 网 络 规划 存在 问题 

有 些 时 候 , 配 置 似乎 没有 问题 ,可 路 由 器 就 是 不 能 正常 工作 ,或 者 工作 状态 不 稳定 ,总 出 


现 一 些 莫 名 其 妙 的 问题 。 这 时 先 不 要 急 着 反复 调试 ,不 妨 回 过 头 来 看 看 用 户 的 网 络 规划 ,看 
看 是 不 是 有 问题 。 例 如 是 不 是 有 重复 使 用 的 网 段 ,网络 掩 码 的 计算 是 否 正确 等 。 

(3) 配置 问题 

这 种 问题 是 最 常见 的 ,就 是 配置 的 确 存在 问题 ,例如 线路 两 端 路 由 器 的 参数 不 匹配 或 参 
数 错误 等 。 这 种 情况 只 要 认真 细致 地 查找 ,总 可 以 解决 。 

3. 路 由 器 故障 的 排除 

1) 串口 故障 排除 

串口 出 现 连 通 性 疑问 时 ,为 了 排除 串口 故障 ,一 般 是 从 show interface serial 命令 开始 ， 
分 析 它 的 屏幕 输出 报告 内 容 , 找 出 疑问 之 所 在 。 串 口 报告 的 开始 提供 了 该 接口 状态 和 线路 
协议 状态 。 接 口 和 线路 协议 的 可 能 组 合 有 以 下 几 种 : 

(1) 串口 运行 ,线路 协议 运行 ,这 是 完全 的 工作 条 件 。 该 串口 和 线路 协议 已 经 原始 化 ， 
并 正在 交换 协议 的 存活 信息 。 

(2) 串口 运行 、 线 路 协议 关闭 ,这 说 明 路 由 器 与 提供 载波 检测 信号 的 设备 连接 ,表明 载 
波 信号 出 现在 本 地 和 远程 的 调制 解 调 器 之 间 , 但 没有 正确 交换 连接 两 端的 协议 存活 信息 。 
可 能 的 故障 发 生 在 路 由 器 配置 问题 ,调制解调器 操作 问题 .租用 线路 干扰 或 远程 路 由 器 故 
障 、 数 字 式 调制 解 调 器 的 时 钟 问题 .通过 链 路 连接 的 两 个 串口 不 在 同一 子 网 上 ,所 有 这 些 都 
会 出 现 这 个 报告 。 

(3) 串口 和 线路 协议 都 关闭 ,可 能 是 电信 部 门 的 线路 故障 .电缆 故障 或 者 是 调制 解 调 器 
故障 。 

(4) 串口 可 管理 功能 关闭 和 线路 协议 关闭 ,这 种 情况 是 在 接口 配置 中 输入 了 shutdown 
命令 ,通过 输入 no shutdown 命令 即 可 打开 。 接 口 和 线路 协议 都 运行 的 状况 下 ,虽然 串口 链 
路 的 基本 通信 建立 起 来 了 ,但 仍然 可 能 由 于 信息 包 丢 失 和 信息 包 不 正确 时 会 出 现 许多 潜在 
的 故障 问题 。 正 常 通信 时 ,接口 输入 或 输出 信息 包 不 应 该 丢失 ,或 者 丢失 的 量 非常 小 ,而 且 
不 会 添加 。 如 果 信 息 包 丢失 有 规律 性 添加 ,表明 通过 该 接口 传输 的 通信 量 超过 接口 所 能 处 
理 的 通信 量 。 处 理 的 办 法 是 添加 线路 容量 。 查 找 其 他 原因 引发 的 信息 包 丢 失 ,查看 show 
interface serial 命令 的 输出 报告 中 的 输入 输出 保持 队列 的 状态 。 当 发 觉 保持 队列 中 信息 包 
数量 达到 了 信息 的 最 大 允许 值 时 ,可 以 添加 保持 队列 配置 的 大 小 。 

2) 以 太 接口 故障 排除 

以 太 接口 的 典型 故障 是 : 带宽 的 过 分 运用 、 碰 撞 冲 突 次 数 频繁 .运用 不 兼容 的 帧 类 型 
等 。 运 用 show interface ethernet 命令 可 以 查看 该 接口 的 吞吐 量 、 碰 撞 冲 突 、 信 息 包 丢 失 、 和 
帧 类 型 的 有 关内 容 等 。 通 过 查看 接口 的 吞吐 量 可 以 检测 网 络 的 运用 。 如 果 网 络 广 播 信 息 包 
的 百分比 很 高 ,网 络 性 能 开始 下 降 。 光 纤 网 转换 到 以 太 网 段 的 信息 包 可 能 会 淹没 以 太 口 。 
若 互 联网 发 生 这 种 情况 ,可 以 采用 优化 接口 的 方法 , 即 在 以 太 接口 运用 no ip route-cache 命 
令 ,禁用 高 速 转换 ,并 且 调 整 缓冲 区 和 保持 队列 。 

当 两 个 接口 试图 同时 传输 信息 包 到 以 太 电缆 上 时 将 发 生 碰 撞 。 以 太 网 要 求 冲 突 次 数 很 
少 , 不 同 的 网 络 要 求 是 不 同 的 ,一 般 情况 发 觉 冲 突 每 秒 有 3、5 次 就 应 该 查找 冲突 的 原因 了 。 
碰撞 冲突 产生 拥塞 ,碰撞 冲突 的 原由 通常 是 由 于 敷设 的 电缆 过 长 .过 分 运用 。 以 太 网 络 在 物 
理 设计 和 敷设 电缆 系统 管理 方面 应 有 所 考虑 , 超 规范 敷设 电缆 可 能 引起 更 多 的 冲突 发 生 。 
如 果 接 口 和 线路 协议 报告 运行 状态 ,并 且 节 点 的 物理 连接 都 完好 ,可 是 不 能 通信 。 引 起 此 问 
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题 的 原因 也 可 能 是 两 个 节点 运用 了 不 兼容 的 帧 类 型 ,处 理 的 办 法 是 重新 配置 ,使 之 运用 相同 
帧 类 型 。 如 果 要 求 运 用 不 同 帧 类 型 的 同一 网 络 的 两 个 设备 互相 通信 ,可 以 在 路 由 器 接口 运 
用 子 接口 ,并 为 每 个 子 接口 指定 不 同 的 封装 类 型 。 

3) 异步 通信 口 故障 排除 

互联 网 络 的 运行 中 ,异步 通信 口 的 任务 是 为 用 户 提供 可 靠 服 务 ,但 又 是 故障 多 发 部 位 。 
主要 的 问题 是 ,在 通过 异步 链 路 传输 基于 LAN 通信 和 量 时 ,将 丢失 的 信息 包 的 量 降 至 最 少 。 
异步 通信 口 故障 一 般 的 外 部 因素 是 : 拨号 链 路 性 能 低 ,电话 网 交换 机 的 连接 质量 问题 ,调制 
解 调 器 的 配置 情况 。 

当 异 步 通信 口 出 现 故 障 时 ,首先 要 检查 链 路 两 端 运行 的 调制 解 调 器 。 连 接 到 远程 PC 
机 端口 调制 解 调 器 的 问题 不 太 多 ,因为 每 次 生成 新 的 拨号 时 通常 都 初始 化 调制 解 调 器 ,运用 
大 多 数 通信 程序 都 能 在 发 出 拨号 命令 之 前 发 送 适当 的 配置 字符 串 ; 连接 路 由 器 端口 的 问题 
较 多 ,这 个 调制 解 调 器 通常 等 待 来 自 远 程 调 制 解 调 器 的 连接 ,连接 之 前 ,并 不 接收 配置 字符 串 。 

如 果 调 制 解 调 器 丢失 了 它 的 配置 ,应 采用 一 种 方案 来 初始 化 远程 调制 解 调 器 。 基 本 的 
办 法 是 运用 可 通过 前 面板 配置 的 调制 解 调 器 , 另 一 种 方法 是 将 调制 解 调 器 接 到 路 由 器 的 异 
步 接口 ,建立 反 向 telnet, 发 送 设置 命 令 配 置 调制 解 调 器 。 

show interface async 命令 .show line 命令 是 诊断 异步 通信 口 故障 运用 最 多 的 工具 。 在 
show interface async 命令 输出 报告 中 ,接口 状态 报告 关闭 的 唯一 的 情况 是 接口 没有 设置 封 
装 类 型 。 线 路 协议 状态 显示 与 串口 线路 协议 显示 相同 。show line 命令 显示 接口 接收 和 传 
输 速 度 设 置 以 及 EIA 状态 显示 。show line 命令 可 以 认为 是 接口 命令 (show interface 
async) 的 扩展。 

确定 异步 通信 口 故障 一 般 可 用 下 列 步 骤 : 检查 电缆 线路 质量 ,检查 调制 解 调 器 的 参数 
配置 ,检查 调制 解 调 器 的 连接 速度 ,检查 rxspeed 和 txspeed 能 不 能 与 调制 解 调 器 的 配置 匹 
配 ,通过 show interface async 命令 和 show line 命令 查看 端口 的 通信 状况 ,从 show line 命 
令 的 报告 检查 EIA 状态 显示 ,检查 接口 封装 ,检查 信息 包 丢 失 及 缓冲 区 丢失 情况 。 


9.6 本 章 小 结 


本 章 介绍 了 网 络 故障 的 诊断 与 网 络 维护 的 相关 知识 ,重点 是 网 络 故障 产 生 的 原因 故障 
诊断 的 原理 ,以 及 故障 排除 的 步骤 等 内 容 。 首 先 介绍 了 网 络 故 障 诊断 的 目的 ,故障 产生 的 原 
因 ,排除 的 方法 和 步骤 ,然后 介绍 了 网 络 故 障 的 分 类 ,以 及 故障 分 层 检 查 的 原理 。 接 着 介绍 
了 网 络 故 障 诊断 的 常用 软 、 硬 件 工具 。 最 后 介绍 了 常见 网 络 故障 及 排除 方法 。 

分 层 检查 指导 故障 分 别 定位 于 物理 层 .数据 链 路 层 、 网 络 层 ,传输 层 和 应 用 层 ,分 段 诊 断 
也 是 常用 的 方法 之 一 , 即 把 故障 定位 于 某 一 网 段 的 设备 上 。 


习 题 9 
一 、 选 择 是 


1. 将 多 个 子 网 断 开 后 作为 各 自 独立 的 子 网 进行 测试 属于 ( ) 检 查 。 
A. 整体 B. 分 层 C. 分 段 D. 其 他 


2. 设备 电缆 出 现 的 问题 属于 ( ) 问 题 。 


A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 应 用 层 
3. IP 地 址 发 生 了 冲突 以 后 可 以 使 用 ( ) 命 令 来 查找 非法 使 用 者 地 址 的 主机 。 
A. netsta B. winipcfg C. tracert D. nbtstat 


4. 在 浏览 器 的 地 址 栏 中 输入 IP 地 址 可 以 访问 网 站 ,而 输入 域名 则 不 能 访问 网 站 ,这 种 
情况 可 能 是 ( ys 


A. IP 地 址 设置 错误 B. DNS 设置 错误 
C. 网 关 设 置 错误 D. 子 网 掩 码 设置 错误 
5. ping 命令 失败 了 ,这 时 ping 命令 会 显示 出 错 信 息 ,这 种 错误 信息 通常 是 ( ) 。 
A. network unreachable B. unknow host 
C. no answer D. 以 上 都 正确 


6. 由 于 OSI 各 层 功 能 具有 相对 独立 性 ,所 以 按 层 排查 故障 可 以 有 效 发 现 和 隔离 故障 ， 
通常 逐 层 分析 和 排查 的 策略 在 具体 实施 时 ( Ws 


A. 从 低层 开始 B. 从 高 层 开始 

C. 从 中 间 开 始 D. 根据 具体 情况 选择 
7. 在 各 种 设备 的 故障 问题 中 ,比较 普遍 的 问题 是 ( )5 

A. 配置 问题 B. 硬件 问题 

C. 规划 设计 问题 D. 黑客 攻击 
二 、 简 答题 
. 故障 排除 的 基本 步骤 是 什么 ? 


1 
2. OSI 协议 各 层 的 功能 是 什么 ? 容易 产生 什么 问题 ? 
3. 网 卡 的 工作 原理 是 什么 ?故障 有 哪些 ? 

4. 如 何 选择 服务 器 ?服务 器 的 故障 通常 有 哪些 ? 

5. 交换 机 的 故障 有 哪些 ? 

6. 路 由 器 的 技术 指标 有 哪些 ?其 故障 有 哪些 ? 

7. 网 络 测试 工具 有 哪些 ? 
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图 书简 介 : 
Dreamweaver CS3、Fireworks CS3 和 Flash CS3 是 Macromedia 公司 为 网 页 制作 人 员 研 制 的 新 一 代 网 页 设计 
软件 ,被 称 为 网 页 制作 “三 剑客 ”。 它 们 在 专业 网 页 制作 、 网 页 图 形 处 理 、 矢 量 动画 以 及 Web 编程 等 领域 中 占有 十 
分 重要 的 地 位 。 
本 书 共 11 章 , 从 基础 网 络 知识 出 发 ,从 网 站 规划 开始 ,重点 介绍 了 使 用 “网 页 三 剑客 ” 制 
作 网 页 的 方法 。 内 容 包 括 了 网 页 设计 基础 .HTML 语言 基础 .使 用 Dreamweaver CS3 管理 ~ 


/ry 


站 点 和 制作 网 页 ,使 用 Fireworks CS3 处 理 网 页 图 像 、 使 用 Flash CS3 制作 动画 和 动态 交互 


式 网 页 ,以 及 网 站 制作 的 综合 应 用 。 


本 书 遵循 循序 渐进 的 原则 ,通过 实例 结合 基础 知识 讲解 的 方法 介绍 了 网 页 设计 与 制作 (( 
的 基础 知识 和 基本 操作 技能 ,在 每 章 的 后 面 都 提供 了 配套 的 习题 。 
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本 书 可 作为 高 等 院 校本 .专科 网 页 设计 课程 的 教材 ,也 可 作为 高 职高 专 院 校 相关 课程 


的 教材 或 培训 教材 。 
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